Jamfは11月7日(米国時間)、「Jamf Threat Labs Discovers Malware from BlueNoroff」において、北朝鮮に関連するとされるサイバー脅威グループ「Lazarus」の下部組織「BlueNoroff」がこれまで文章化されていなかったマルウェア「ObjCShellz」を使用してmacOSを攻撃したと報じた。
-
Jamf Threat Labs Discovers Malware from BlueNoroff
BlueNoroffは経済的利益を目的とした組織で、暗号資産取引所、ベンチャーキャピタル企業、金融機関を標的とすることが多いとされる。今回、Jamf Threat Labsは過去に悪意があると判定したドメインと通信するバイナリを発見して分析。この分析において、このドメインの使用方法が過去にRustbucketキャンペーンを行ったとして追跡しているBlueNoroffの活動と一致していることがわかったという。
Jamf Threat Labsの分析によると、このマルウェアはObjective-Cで書かれたプログラムで、脅威アクターのコマンド&コントロール(C2: Command and Control)サーバから送信されたシェルコマンドを実行する単純なリモートシェルとされる。これまでのところ、このマルウェアがどのように侵入したのかは明らかになっていない。なお、このマルウェアは9月および10月に日本と米国からVirusTotalへ報告があったとされている。
-
VirusTotalへ報告された記録 引用:Jamf Threat Labs
このマルウェアの機能は単純ではあるものの、脅威アクターが目的を達成するために十分役に立つという。Jamf Threat LabsはBlueNoroffによって行われた過去のキャンペーンにおいて、このマルウェアはソーシャルエンジニアリングを介して配信された多段階マルウェアの最終段階に位置するマルウェアと推測している。そして、このマルウェアを「ObjCShellz」と名付け、Rustbucketキャンペーンの一部として追跡していくとしている。
メルカリで相次ぐ不正行為、どう対処しているのか? 不正対策部門の責任者に直撃
