BlueNoroff richt zich met nieuwe macOS-malware op cryptocurrrency beurzen

Amsterdam, 8 november 2023 – Onderzoekers van Jamf Threat Labs hebben een nieuwe malwarevariant geïdentificeerd die wordt toegeschreven aan de BlueNoroff APT-groep. De campagnes van BlueNoroff zijn financieel gemotiveerd en richten zich vaak op cryptocurrency beurzen, venture capital bedrijven en banken. Onderzoekers ontdekten een binary die communiceerde met een domein dat Jamf eerder als kwaadaardig had geclassificeerd. Deze executable was op het moment van analyse nog niet gedetecteerd op VirusTotal.

De standalone binary, ProcessRequest, communiceert met het domein swissborg[.]blog. Dit wekte argwaan onder de onderzoekers, omdat er een legitieme cryptocurrency exchange bestaat die opereert onder het domein swissborg.com, waar een legitieme blog wordt gehost op swissborg.com/blog. Het gebruik van dit domein komt sterk overeen met de activiteit die de onderzoekers van Jamf eerder hebben gezien van BlueNoroff in de Rustbucket-campagne. Daarin bereikt de aanvaller een doelwit door te beweren dat hij geïnteresseerd is in een samenwerking of door zich voor te doen als een investeerder of headhunter. BlueNoroff creëert vaak een domein dat eruitziet alsof het van een legitiem cryptobedrijf, is om op te gaan het overige netwerkverkeer.

Eenvoudig maar effectief

Bijzonder is dat deze malware opdrachten op afstand kan uitvoeren. Hiermee kan een aanvaller bijvoorbeeld gecompromitteerde systemen op afstand bedienen en beheren. Ferdous Saljooki, onderzoeker bij Jamf, zegt: “Hoewel deze malware redelijk eenvoudig lijkt, is het zeer functioneel en biedt het aanvallers de middelen om hun doelen te bereiken. Dit patroon zien we ook in de meest recente malware van deze APT-groep.”

Analyse

De malware is geschreven in Objective-C en werkt als een eenvoudige remote shell die shellcommando’s uitvoert die worden verzonden vanaf de aanvalsserver. Deze shell onderhoudt vervolgens de communicatie met de C2-server via POST-berichten naar een specifieke URL. Daarbij wordt ook informatie verzameld over het geïnfecteerde macOS-systeem.

Hoewel niet helemaal duidelijk is hoe de initiële toegang is verkregen, wordt deze malware waarschijnlijk in een later stadium gebruikt om handmatig commando’s uit te voeren nadat een systeem is gecompromitteerd. Deze malware verschilt op het eerste gezicht flink van de eerder genoemde RustBucket-malware die bij andere aanvallen is gebruikt, maar de aanvaller lijkt zich in beide gevallen te richten op het bieden van eenvoudige remote shell-mogelijkheden.

Een uitgebreide blog en analyse is hier te vinden:

https://www.jamf.com/blog/bluenoroff-strikes-again-with-new-macos-malware/

Over Jamf

Het doel van Jamf is organisaties te helpen bij het beheren en beveiligen van de Apple-ervaring die gebruikers willen en die organisaties vertrouwen. Jamf is het enige bedrijf ter wereld dat een complete beheer- en beveiligingsoplossing biedt voor Apple-omgevingen, met security op enterprise-niveau, het gemak van een consumentenervaring en dat de persoonlijke privacy beschermt. Kijk voor meer informatie op jamf.com/nl/.