Cyberthreat.id - Kelompok hacker Korea Utara, BlueNoroff, dikaitkan dengan jenis malware macOS yang sebelumnya tidak terdokumentasikan dan dijuluki ObjCShellz.

Jamf Threat Labs, yang mengungkapkan rincian malware tersebut, mengatakan kepada The Hacker News, bahwa malware tersebut digunakan sebagai bagian dari kampanye malware RustBucket, yang terungkap awal tahun ini.

“Berdasarkan serangan sebelumnya yang dilakukan oleh BlueNoroff, kami menduga malware ini merupakan tahap akhir dari malware multi-tahap yang dikirimkan melalui rekayasa sosial,” kata peneliti keamanan Ferdous Saljooki dalam laporan yang dibagikan kepada The Hacker News.

BlueNoroff, juga dilacak dengan nama APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima, dan TA444, adalah elemen bawahan dari Grup Lazarus terkenal yang berspesialisasi dalam kejahatan keuangan, menargetkan bank dan sektor kripto sebagai cara untuk menghindari sanksi dan menghasilkan uang.

Perkembangan ini terjadi beberapa hari setelah Elastic Security Labs mengungkapkan penggunaan malware macOS baru yang disebut KANDYKORN oleh Grup Lazarus untuk menargetkan insinyur blockchain.

Yang juga terkait dengan pelaku ancaman adalah malware macOS yang disebut sebagai RustBucket, sebuah backdoor berbasis AppleScript yang dirancang untuk mengambil muatan tahap kedua dari server yang dikendalikan penyerang.

Dalam serangan-serangan ini, calon target dibujuk dengan dalih menawarkan nasihat investasi atau pekerjaan, hanya untuk memulai rantai infeksi melalui dokumen umpan.

ObjCShellz, seperti namanya, ditulis dalam Objective-C yang berfungsi sebagai "shell jarak jauh yang sangat sederhana yang menjalankan perintah shell yang dikirim dari server penyerang."

“Kami tidak memiliki rincian mengenai siapa yang secara resmi digunakan untuk melawannya,” Jaron Bradley, direktur Jamf Threat Labs, mengatakan kepada The Hacker News.

“Tetapi mengingat serangan yang kita lihat tahun ini, dan nama domain yang dibuat oleh penyerang, kemungkinan besar itu digunakan terhadap perusahaan yang bekerja di industri mata uang kripto atau bekerja sama dengan industri tersebut.”

Vektor akses awal yang tepat untuk serangan tersebut saat ini tidak diketahui, meskipun ada dugaan bahwa malware tersebut dikirimkan sebagai muatan pasca-eksploitasi untuk menjalankan perintah secara manual pada mesin yang diretas.

“Meskipun cukup sederhana, malware ini masih sangat fungsional dan akan membantu penyerang mencapai tujuannya,” kata Saljooki.

Pengungkapan ini juga terjadi ketika kelompok-kelompok yang disponsori Korea Utara seperti Lazarus berevolusi dan melakukan reorganisasi untuk berbagi alat dan taktik satu sama lain, mengaburkan batasan-batasan, bahkan ketika mereka terus membuat malware yang dibuat khusus untuk Linux dan MacOS.

“Diyakini bahwa pelaku di balik kampanye [3CX dan JumpCloud] sedang mengembangkan dan berbagi berbagai perangkat dan kampanye malware MacOS selanjutnya tidak dapat dihindari,” kata peneliti keamanan SentinelOne Phil Stokes bulan lalu.

Aksi peretasan yang dilakukan Korea Utara juga telah mendorong AS, Korea Selatan, dan Jepang untuk bergandengan tangan dan membentuk kelompok konsultasi siber tingkat tinggi trilateral, terutama untuk memerangi “aktivitas siber yang disalahgunakan sebagai sumber pendanaan utama bagi pengembangan senjata Korea Utara."[]