Le groupe de menace BlueNorOff, soutenu par la Corée du Nord, cible les clients Apple avec un nouveau malware macOS suivi sous le nom d’ObjCShellz, capable d’ouvrir des shells distants sur des appareils compromis.
BlueNorOff est un groupe de piratage à motivation financière connu pour attaquer les bourses de crypto-monnaie et les organisations financières telles que les sociétés de capital-risque et les banques du monde entier.
La charge utile malveillante observée par les analystes de logiciels malveillants de Jamf (appelée ProcessRequest) communique avec le blog swissborg[.]blog, un domaine contrôlé par l’attaquant enregistré le 31 mai et hébergé à 104.168.214[.]151 (une adresse IP faisant partie de l’infrastructure BlueNorOff).
Ce domaine de commande et de contrôle (C2) imite les sites Web d’un échange de crypto-monnaie légitime disponible sur swissborg.com/blog. Toutes les données transférées vers le serveur sont divisées en deux chaînes et assemblées à l’autre extrémité pour échapper à la détection statique.
« L’utilisation de ce domaine correspond parfaitement à l’activité que nous avons observée chez BlueNorOff dans ce que Jamf Threat Labs suit comme la campagne Rustbucket », ont déclaré les chercheurs en sécurité.
« Dans cette campagne, l’acteur s’adresse à une cible prétendant être intéressée à s’associer avec elle ou à lui offrir quelque chose de bénéfique sous le couvert d’un investisseur ou d’un chasseur de têtes. BlueNorOff crée souvent un domaine qui semble appartenir à une société de cryptographie légitime dans afin de se fondre dans l’activité du réseau.
Mac avec porte dérobée
ObjCShellz est un malware basé sur Objective-C, assez différent des autres charges utiles malveillantes déployées lors des précédentes attaques BlueNorOff. Il est également conçu pour ouvrir des shells distants sur des systèmes macOS compromis après avoir été supprimés à l’aide d’un vecteur d’accès initial inconnu.
Les attaquants l’ont utilisé pendant la phase post-exploitation pour exécuter des commandes sur des Mac Intel et Arm infectés.
« Bien qu’assez simple, ce malware reste très fonctionnel et aidera les attaquants à atteindre leurs objectifs. Cela semble être un thème avec le dernier malware que nous avons vu venir de ce groupe APT », a déclaré Jamf.
« Sur la base des attaques précédentes menées par BlueNorOff, nous soupçonnons que ce malware était une étape tardive d’un malware en plusieurs étapes diffusé via l’ingénierie sociale. »
L’année dernière, Kaspersky a associé les pirates informatiques de BlueNorOff à une longue série d’attaques ciblant des startups de crypto-monnaie dans le monde entier, notamment aux États-Unis, en Russie, en Chine, en Inde, au Royaume-Uni, en Ukraine, en Pologne, en République tchèque, aux Émirats arabes unis, à Singapour, en Estonie, au Vietnam, Malte, Allemagne et Hong Kong.
En 2019, le Trésor américain a sanctionné BlueNorOff et deux autres groupes de piratage informatique nord-coréens (Lazarus Group et Andariel) pour avoir canalisé des actifs financiers volés vers le gouvernement nord-coréen.
Les pirates informatiques nord-coréens ont déjà volé environ 2 milliards de dollars lors d’au moins 35 cyberattaques ciblant des banques et des bourses de crypto-monnaie dans plus d’une douzaine de pays, selon un rapport des Nations Unies datant d’il y a quatre ans.
Le FBI a également attribué le plus grand piratage cryptographique jamais réalisé, celui du pont réseau Ronin d’Axie Infinity, aux pirates informatiques Lazarus et BlueNorOff, qui ont volé 173 600 Ethereum et 25,5 millions de jetons USDC d’une valeur de plus de 617 millions de dollars à l’époque.