Neue BlueNoroff-Malware-Variante zielt auf Kryptowährungsbörsen ab

Sicherheitsforscher haben eine beunruhigende Entdeckung gemacht: Eine aufkommende Malware-Variante, die angeblich mit der berüchtigten BlueNoroff Advanced Persistent Threat (APT)-Gruppe in Verbindung steht.

Fokus auf Krypto-Börsen, Risikokapitalunternehmen und Banken

Die BlueNoroff APT-Gruppe ist bekannt für ihre finanziell motivierten Kampagnen, die sich häufig auf Kryptowährungsbörsen, Risikokapitalunternehmen und Banken konzentrieren. Kürzlich brachte Jamf Threat Labs in einem heute veröffentlichten Bericht ans Licht, dass während einer routinemäßigen Bedrohungssuche eine Mach-O universelle Binärdatei entdeckt wurde, die mit einer zuvor identifizierten bösartigen Domain kommunizierte.

Die eigenständige Binärdatei mit dem Namen „ProcessRequest“ hat Aufmerksamkeit erregt, da sie mit der zuvor verdächtigen Domain interagiert. Was die Bedenken weiter verstärkt, ist die Tatsache, dass eine legitime Kryptowährungsbörse unter einer ähnlichen Domain operiert.

Gemäß den Erkenntnissen des Forschers Ferdous Saljooki von Jamf weist diese Aktivität starke Ähnlichkeiten mit der Rustbucket-Kampagne von BlueNoroff auf. In dieser Kampagne übernimmt die APT-Gruppe oft die Identität eines Investors oder Headhunters als Teil ihrer Strategie, um Zugang zu ihren Zielen zu erhalten.

Beunruhigende Entwicklungen haben stattgefunden

Die bösartige Domain, die im Mai 2023 registriert wurde und später mit einer bestimmten IP-Adresse verknüpft wurde, hat eine Reihe beunruhigender Entwicklungen durchlaufen. Trotz der Verwendung verschiedener URLs für die Kommunikation von Malware stellte der Command-and-Control (C2)-Server seine Antwort ein und wurde schließlich nach gründlicher Analyse offline genommen.

In einem technischen Bericht erklärte Saljooki, dass die Malware, die den Namen „ObjCSellz“ trägt, in Objective-C geschrieben ist und als einfache externe Shell fungiert. Diese Shell führt Befehle aus, die von einem Angreiferserver gesendet werden. Obwohl die ursprüngliche Zugriffsmethode noch unklar ist, scheint sie in späteren Phasen genutzt zu werden, um nach der Kompromittierung eines Systems manuell Befehle auszuführen. ObjCSellz kommuniziert mit dem C2-Server über POST-Nachrichten an eine bestimmte URL, sammelt Informationen über das infizierte macOS-System und generiert einen User-Agent für die Kommunikation.

Trotz ihrer Einfachheit ist die Fähigkeit dieser Malware, Befehle remote auszuführen, bemerkenswert und ermöglicht es dem Angreifer, kompromittierte Systeme aus der Ferne zu kontrollieren.

Ferdous Saljooki, Forscher bei Jamf, bemerkte: „Obwohl sie auf den ersten Blick einfach erscheint, bleibt diese Malware dennoch sehr funktional und bietet Angreifern die Mittel, ihre Ziele zu erreichen. Dies scheint ein Muster in den neuesten Malwaren zu sein, die wir von dieser APT-Gruppe beobachtet haben.“

Basierend auf früheren Angriffen, die von BlueNoroff durchgeführt wurden, wird vermutet, dass sich diese Malware in einem späten Stadium eines mehrstufigen Angriffs befand, möglicherweise durch Social Engineering eingeführt.