Hacker Cyberattack
Hack

Nieuwe BlueNoroff-malwarevariant richt zich op cryptocurrency-exchanges

Beveiligingsonderzoekers hebben een alarmerende ontdekking gedaan: een opkomende malwarevariant die naar verluidt in verband wordt gebracht met de beruchte ‘BlueNoroff Advanced Persistent Threat’ (APT)-groep.

Focus op crypto-exchanges, durfkapitaalbedrijven en banken

De BlueNoroff APT-groep staat bekend om haar financieel gemotiveerde campagnes, die zich veelvuldig richten op cryptocurrency-exchanges, durfkapitaalbedrijven en banken. Onlangs bracht Jamf Threat Labs in een vandaag gepubliceerd advies aan het licht dat tijdens een routinematige jacht op bedreigingen een Mach-O universeel binair bestand werd ontdekt, dat communicatie onderhield met een eerder geïdentificeerd kwaadaardig domein.

Het op zichzelf staande binaire bestand, genaamd “ProcessRequest,” heeft de aandacht getrokken vanwege zijn interactie met het eerder verdachte domein. Wat de zorgen verder aanwakkert, is het feit dat een legitieme cryptocurrency-uitwisseling onder een vergelijkbaar domein opereert.

Volgens de bevindingen van onderzoeker Ferdous Saljooki van Jamf, vertoont deze activiteit sterke overeenkomsten met de Rustbucket-campagne van BlueNoroff. In deze campagne neemt de APT-groep vaak de identiteit aan van een investeerder of headhunter, als onderdeel van hun strategie om toegang te krijgen tot hun doelwitten.

Verontrustende ontwikkelingen zijn doorgemaakt

Het kwaadaardige domein, dat in mei 2023 werd geregistreerd en later gekoppeld werd aan een specifiek IP-adres, heeft een reeks verontrustende ontwikkelingen doorgemaakt. Ondanks het gebruik van verschillende URL’s voor de communicatie van malware, staakte de command-and-control (C2)-server zijn respons en werd uiteindelijk offline gehaald na grondige analyse.

In een technisch verslag legde Saljooki uit dat de malware, die de naam ‘ObjCSellz’ draagt, is geschreven in Objective-C en functioneert als een eenvoudige externe shell. Deze shell voert opdrachten uit die vanaf de aanvallende server worden verzonden. Hoewel de oorspronkelijke methode voor toegang nog onduidelijk blijft, lijkt deze in latere fasen te worden benut om handmatig opdrachten uit te voeren nadat een systeem is gecompromitteerd. ObjCSellz onderhoudt communicatie met de C2-server via POST-berichten naar een specifieke URL, waarbij het tevens informatie verzamelt over het geïnfecteerde macOS-systeem en een user-agent genereert voor de communicatie.

Ondanks eenvoud toch zeer functioneel

De capaciteit van deze malware om opdrachten op afstand uit te voeren, is opmerkelijk en stelt de aanvaller in staat om gecompromitteerde systemen op afstand te beheersen.

Ferdous Saljooki, onderzoeker bij Jamf, merkte op: ‘Ondanks zijn ogenschijnlijke eenvoud, blijft deze malware zeer functioneel en biedt hij aanvallers de middelen om hun doelstellingen te verwezenlijken. Dit lijkt een patroon te zijn in de recentste malware die we van deze APT-groep hebben waargenomen.’

Gebaseerd op eerdere aanvallen die zijn uitgevoerd door BlueNoroff, wordt vermoed dat deze malware zich in een laat stadium van een meerfasige aanval bevond, mogelijk geïntroduceerd via social engineering.

Hack nieuws

Cryptohacks nemen toe in 2024: meer dan $2,3 miljard aan crypto gestolen
Interpol deelt internationaal arrestatieverzoek voor Hex-oprichter Richard Heart
Chainalysis: Crypto-hacks stijgen naar $2,2 miljard in 2024
Meer nieuws

Meest gelezen

Robert Kiyosaki: Er komt een gigantische financiële crash aan – investeer in deze 3 assets
Gigantische crypto-crash – Wat is er aan de hand?
Crypto analist: XRP investeerders zullen “stinkend rijk” worden
Newsbit
Bekijk de app
Bekijk