Jamf Threat Labs heeft een nieuwe malwarevariant geïdentificeerd die wordt toegeschreven aan de BlueNoroff APT-groep. De campagnes van deze Noord-Koreaanse hackers zijn financieel gemotiveerd en richten zich op cryptocurrencybeurzen, durfkapitaalbedrijven en banken.
Onderzoekers ontdekten een binary die communiceerde met een domein dat Jamf eerder als kwaadaardig had geclassificeerd. Deze executable was op het moment van analyse nog niet gedetecteerd op de antiviruswebsite VirusTotal.
De standalone binary ProcessRequest communiceert met een fake-versie van de cryptocurrency-exchange Swissborg.blog, wat argwaan wekte onder de onderzoekers. Het gebruik van het legitieme domein komt sterk overeen met de activiteit die de onderzoekers van Jamf eerder hebben gezien van BlueNoroff in de Rustbucket-campagne. Daarin bereikt de aanvaller een doelwit door te beweren dat hij geïnteresseerd is in een samenwerking of door zich voor te doen als een investeerder of headhunter. BlueNoroff creëert vaak een domein dat eruitziet alsof het van een legitiem cryptobedrijf is, om vervolgens op te gaan in het overige netwerkverkeer.
Afstand
Bijzonder is dat deze malware opdrachten op afstand kan uitvoeren. Hiermee kan een aanvaller gecompromitteerde systemen op afstand bedienen en beheren. Ferdous Saljooki, onderzoeker bij Jamf, stelt vast dat deze redelijk eenvoudig ogende malware zeer functioneel is en aanvallers de middelen biedt om hun doelen te bereiken. ‘Dit patroon zien we ook in de meest recente malware van deze APT-groep.’
De malware is geschreven in Objective-C en werkt als een eenvoudige remote shell die shellcommando’s uitvoert die worden verzonden vanaf de aanvalsserver. Deze shell onderhoudt vervolgens de communicatie met de C2-server via post-berichten naar een specifieke url. Daarbij wordt ook informatie verzameld over het geïnfecteerde MacOS-systeem.
Hoewel niet helemaal duidelijk is hoe de initiële toegang is verkregen, wordt deze malware waarschijnlijk in een later stadium gebruikt om handmatig commando’s uit te voeren nadat een systeem is gecompromitteerd. Deze malware verschilt op het eerste gezicht flink van de eerder genoemde RustBucket-malware die bij andere aanvallen is gebruikt, maar de aanvaller lijkt zich in beide gevallen te richten op het bieden van eenvoudige remote shell-mogelijkheden.
