Beveiligingsonderzoekers hebben een alarmerende ontdekking gedaan: een opkomende malwarevariant die naar verluidt in verband wordt gebracht met de beruchte ‘BlueNoroff Advanced Persistent Threat’ (APT)-groep.
Focus op crypto-exchanges, durfkapitaalbedrijven en banken
De BlueNoroff APT-groep staat bekend om haar financieel gemotiveerde campagnes, die zich veelvuldig richten op cryptocurrency-exchanges, durfkapitaalbedrijven en banken. Onlangs bracht Jamf Threat Labs in een vandaag gepubliceerd advies aan het licht dat tijdens een routinematige jacht op bedreigingen een Mach-O universeel binair bestand werd ontdekt, dat communicatie onderhield met een eerder geïdentificeerd kwaadaardig domein.
Het op zichzelf staande binaire bestand, genaamd “ProcessRequest,” heeft de aandacht getrokken vanwege zijn interactie met het eerder verdachte domein. Wat de zorgen verder aanwakkert, is het feit dat een legitieme cryptocurrency-uitwisseling onder een vergelijkbaar domein opereert.
Volgens de bevindingen van onderzoeker Ferdous Saljooki van Jamf, vertoont deze activiteit sterke overeenkomsten met de Rustbucket-campagne van BlueNoroff. In deze campagne neemt de APT-groep vaak de identiteit aan van een investeerder of headhunter, als onderdeel van hun strategie om toegang te krijgen tot hun doelwitten.
Verontrustende ontwikkelingen zijn doorgemaakt
Het kwaadaardige domein, dat in mei 2023 werd geregistreerd en later gekoppeld werd aan een specifiek IP-adres, heeft een reeks verontrustende ontwikkelingen doorgemaakt. Ondanks het gebruik van verschillende URL’s voor de communicatie van malware, staakte de command-and-control (C2)-server zijn respons en werd uiteindelijk offline gehaald na grondige analyse.
In een technisch verslag legde Saljooki uit dat de malware, die de naam ‘ObjCSellz’ draagt, is geschreven in Objective-C en functioneert als een eenvoudige externe shell. Deze shell voert opdrachten uit die vanaf de aanvallende server worden verzonden. Hoewel de oorspronkelijke methode voor toegang nog onduidelijk blijft, lijkt deze in latere fasen te worden benut om handmatig opdrachten uit te voeren nadat een systeem is gecompromitteerd. ObjCSellz onderhoudt communicatie met de C2-server via POST-berichten naar een specifieke URL, waarbij het tevens informatie verzamelt over het geïnfecteerde macOS-systeem en een user-agent genereert voor de communicatie.
Ondanks eenvoud toch zeer functioneel
De capaciteit van deze malware om opdrachten op afstand uit te voeren, is opmerkelijk en stelt de aanvaller in staat om gecompromitteerde systemen op afstand te beheersen.
Ferdous Saljooki, onderzoeker bij Jamf, merkte op: ‘Ondanks zijn ogenschijnlijke eenvoud, blijft deze malware zeer functioneel en biedt hij aanvallers de middelen om hun doelstellingen te verwezenlijken. Dit lijkt een patroon te zijn in de recentste malware die we van deze APT-groep hebben waargenomen.’
Gebaseerd op eerdere aanvallen die zijn uitgevoerd door BlueNoroff, wordt vermoed dat deze malware zich in een laat stadium van een meerfasige aanval bevond, mogelijk geïntroduceerd via social engineering.
Het bericht Nieuwe BlueNoroff-malwarevariant richt zich op cryptocurrency-exchanges verscheen eerst op Newsbit.