曹县“BlueNoroff”组织利用 macOS 恶意软件瞄准金融机构

曹县官方背景的黑客组织 BlueNoroff 正在利用影响 macOS 的恶意软件瞄准金融机构。

安全公司 Jamf 的研究人员在一份新报告中表示，一个名为BlueNoroff 的高级持续威胁组织正在针对加密货币交易所、风险投资公司和银行发起出于经济动机的攻击。

美国财政部认为BlueNoroff APT 黑客是 Lazarus 的一个子组织，Lazarus 是研究人员和政府追踪的最臭名昭著的曹县政府黑客。

Jamf 威胁实验室的研究人员将最新的活动与他们之前称为“Rustbucket”的活动进行了结合，涉及可以利用 Mac 设备的恶意软件。

研究人员表示：“大多数恶意软件都非常复杂，而这种恶意软件似乎有点懒惰，功能很少。”

“从代码角度来看，该恶意软件与我们所知的其他恶意软件并不直接相似。话虽这么说，因为它很简单，所以没有什么可挑剔的。代码中包含的域以及它能够接收和执行来自该域的命令是主要的危险信号。”

研究人员在发现尚未提交到 VirusTotal（恶意软件存储库）的恶意软件后对此产生了兴趣。日本和美国在 9 月和 10 月开始调查该恶意软件。

他们发现了其他引起他们兴趣的线索，包括与一个似乎与加密货币公司相关的域进行通信的事实。Jamf 威胁实验室表示，BlueNoroff 通常“创建一个看起来属于合法加密公司的域名，以便融入网络活动。”

在本例中，该组织正在与 swissborg[.]blog 域名进行通信，该域名是 5 月31 日注册的加密货币交易所 swissborg.com/blog 的山寨品。

“这里看到的活动与我们在 Jamf 威胁实验室追踪的 Rustbucket 活动中从 BlueNoroff 看到的活动非常一致，在该活动中，攻击者接触到目标，声称有兴趣与他们合作，或者在伪装下为他们提供一些有益的东西。”他们说。

目前尚不清楚黑客是如何获得初始访问权限的，但他们怀疑恶意软件是通过社会工程攻击传播的。然后，它会在攻击的后期使用，并提供有关 macOS 设备等的信息。

Menlo Security 的网络安全专家 Ngoc Bui 指出，该组织此前曾使用冒充招聘人员的网络钓鱼电子邮件，通过后门恶意软件感染目标，这些恶意软件可以窃取数据并远程控制受感染的系统。

“Jamf 威胁实验室发现的新恶意软件菌株意义重大，因为它表明 BlueNoroff 正在继续开发新的复杂恶意软件。Bui 表示，该恶意软件在上传时未被 VirusTotal 检测到，这一事实表明 BlueNoroff 正在采取措施逃避检测。他补充说，这种病毒很危险，因为它被伪装成合法软件。

2019 年，美国财政部对该组织实施了制裁，并表示 BlueNoroff“由曹县政府成立，旨在非法赚取收入，以应对全球制裁力度加大。”

美国财政部表示：“Bluenoroff 代表曹县政权以网络抢劫的形式对外国金融机构进行恶意网络活动，以赚取收入，部分用于其不断发展的核武器和弹道导弹计划。”

“网络安全公司早在 2014 年就首次注意到这个组织，当时曹县的网络活动除了获取军事信息、破坏网络稳定或恐吓对手之外，还开始关注经济利益。”

美国财政部表示，到 2018 年，该组织已试图从目标窃取超过 11 亿美元，并对孟加拉国、印度、墨西哥、巴基斯坦、菲律宾、韩国、台湾、土耳其、智利和越南的银行进行了攻击。

其中最引人注目的攻击之一包括从孟加拉国中央银行纽约联邦储备银行账户中盗窃 8000 万美元。

俄罗斯安全公司卡巴斯基表示，BlueNoroff 与俄罗斯、波兰、斯洛文尼亚、乌克兰、捷克共和国、中国、印度、美国、香港、新加坡、阿联酋和越南的加密货币公司遭受的多起黑客攻击有关。

转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/ZVANxN1unmO9YTfzZ4-bAw

封面来源于网络，如有侵权请联系删除