关键词
黑客攻击
朝鲜政府支持的黑客组织正在利用影响 macOS 的恶意软件瞄准金融机构。
安全公司 Jamf 的研究人员在一份新报告中表示,一个名为 BlueNoroff 的高级持续威胁组织正在针对加密货币交易所、风险投资公司和银行发起出于经济动机的攻击。
美国财政部认为BlueNoroff APT 黑客是 Lazarus 的一个子组织,Lazarus 是研究人员和政府追踪的最臭名昭著的朝鲜政府黑客。
Jamf 威胁实验室的研究人员将最新的活动与他们之前称为“Rustbucket”的活动进行了结合,涉及可以利用 Mac 设备的恶意软件。
研究人员告诉 Recorded Future News,他们称之为 ObjCShellz 的恶意软件的简单性对他们来说是最突出的。
一位发言人表示:“大多数恶意软件都非常复杂,而这种恶意软件似乎有点懒惰,功能很少。”
“从代码角度来看,该恶意软件与我们所知的其他恶意软件并不直接相似。话虽这么说,因为它很简单,所以没有什么可挑剔的。代码中包含的域以及它能够接收和执行来自该域的命令的事实是主要的危险信号。”
研究人员在发现尚未提交到 VirusTotal(恶意软件存储库)的恶意软件后对此产生了兴趣。日本和美国在 9 月和 10 月开始调查该恶意软件后提交了意见书。
他们发现了其他引起他们兴趣的线索,包括它与一个似乎与加密货币公司相关的域进行通信的事实。Jamf 威胁实验室表示,BlueNoroff 通常“创建一个看起来属于合法加密公司的域名,以便融入网络活动。”
在本例中,该组织正在与 swissborg[.]blog 域名进行通信,该域名是 5 月 31 日注册的加密货币交易所 swissborg.com/blog 的山寨品。
“这里看到的活动与我们在 Jamf 威胁实验室追踪的 Rustbucket 活动中从 BlueNoroff 看到的活动非常一致,在该活动中,攻击者接触到目标,声称有兴趣与他们合作,或者在伪装下为他们提供一些有益的东西。投资者或猎头,”他们说。
目前尚不清楚黑客是如何获得初始访问权限的,但他们怀疑恶意软件是通过社会工程攻击传播的。然后,它会在攻击的后期使用,并提供有关 macOS 设备等的信息。
Menlo Security 的网络安全专家 Ngoc Bui 指出,该组织此前曾使用冒充招聘人员的网络钓鱼电子邮件,通过后门恶意软件感染目标,这些恶意软件可以窃取数据并远程控制受感染的系统。
“Jamf 威胁实验室发现的新恶意软件菌株意义重大,因为它表明 BlueNoroff 正在继续开发新的复杂恶意软件。Bui 表示,该恶意软件在上传时未被 VirusTotal 检测到,这一事实表明 BlueNoroff 正在采取措施逃避检测。他补充说,这种病毒很危险,因为它被伪装成合法软件。
“对于朝鲜来说,如果你一直关注该国不同的 APT 和活动,这就是一件大事。”
2019 年,美国财政部对该组织实施了制裁,并表示 BlueNoroff“由朝鲜政府成立,旨在非法赚取收入,以应对全球制裁力度加大。”
他们表示:“Bluenoroff 代表朝鲜政权以网络抢劫的形式对外国金融机构进行恶意网络活动,以赚取收入,部分用于其不断发展的核武器和弹道导弹计划。”
“网络安全公司早在 2014 年就首次注意到这个组织,当时朝鲜的网络活动除了获取军事信息、破坏网络稳定或恐吓对手之外,还开始关注经济利益。”
美国财政部表示,到 2018 年,该组织已试图从目标窃取超过 11 亿美元,并对孟加拉国、印度、墨西哥、巴基斯坦、菲律宾、韩国、台湾、土耳其、智利和越南的银行进行了攻击。
其中最引人注目的攻击之一包括从孟加拉国中央银行纽约联邦储备银行账户中盗窃 8000 万美元。
俄罗斯安全公司卡巴斯基表示,BlueNoroff 与俄罗斯、波兰、斯洛文尼亚、乌克兰、捷克共和国、中国、印度、美国、香港、新加坡、阿拉伯联合酋长国和越南的加密货币公司遭受的多起黑客攻击有关。
该组织被指控在 2021 年从 bZx DeFi 平台窃取了 5500 万美元。朝鲜国家支持的黑客组织被指控从全球受害者那里窃取了相当于数十亿美元的资金,据称朝鲜政权利用这些资金为其核导弹提供资金程序。
END
阅读推荐
【安全圈】公司网页居然变成“网络博彩”内容?被闲置的网页一定要注意
【安全圈】Linux 出现新漏洞,正被Kinsing Actor 利用入侵云环境
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
原文始发于微信公众号(安全圈):【安全圈】黑客组织“BlueNoroff”正利用 macOS 恶意软件瞄准金融机构
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论