macOS注意！新恶意软体透过社交传播，北韩骇客锁定加密钱包

北韩骇客 Lazarus Group 下属组织 BlueNoroff 使用一种名为 ObjCShellz 的全新 macOS 恶意软体，骗取信任後投放该恶意软体。

本月初 Elastic Security Labs 揭露北韩骇客拉撒路集团「Lazarus Group」使用一种名为 KANDYKORN 的新 macOS 恶意软体来针对交易所区块链工程师，昨（7）日，Jamf Threat Labs 揭露专门攻击 macOS 的恶意软体，称为 ObjCShellz，而此软体经查由 Lazarus Group 的下属组织 BlueNoroff 所散播。

透过社交工程手法传播

Jamf Threat Labs 表示 ObjCShellz 是今年 4 月发现的 RustBucket 恶意软体活动中的一环，Jamf Threat Labs 的安全研究员 Ferdous Saljooki 进一步表明，据 BlueNoroff 以前进行的攻击纪录显示，他们合理怀疑 ObjCShellz 是一种多重恶意软体攻击的後期阶段，并通过社交工程手法进行传播。

RustBucket 恶意软体是基於 AppleScript 的後门程式，旨在从攻击者控制的伺服器中，检索第二阶段的恶意负载。而 ObjCShellz 的名称暗示它是用 Objective-C 语言编写的，它为攻击者提供一个远端命令执行介面（shell），能够控制受害者的 macOS 系统，从而执行攻击者发送的命令。

区块链安全公司 SlowMist 资安长 23pds 也在 X 上发出此次攻击的警讯，他表示 BlueNoroff 以投资者或猎头的身份接触目标，声称有兴趣与他们合作或为他们提供一些收益产品，骗取信任後投放 macOS 恶意软体。

攻击再次针对加密行业

值得注意的是，23pds 指出这次的攻击再次针对加密货币行业，凸显出 Lazarus Group 针对加密行业高度定制的网路间谍和金融犯罪活动正不断发生。

23pds 进一步说明 BlueNoroff 利用合法的加密货币交易所，在网域名称 swissborg[.]com 下运行一个看似无异状的部落格，他们使用这个部落格网站植入恶意软体，将命令和控制（C2）的 URL 分成两个不同的字符串，这样可以在不引起怀疑的情况下将其重组，从而逃避使用静态特徵的安全检测法。

因此，23pds 提醒加密货币平台运营者需要对内部流量进行仔细检查，以发现是否有与这些攻击相关的浏览记录，平台运营者应特别注意 swissborg[.]com 和 swissborg[.]blog 这两个网域名称，并在其流量控制系统中进行查询，以确保未受到这种恶意活动的影响。

今年以来，Lazarus Group 已被确认窃取了约 3 亿美元的加密资产，且多次攻击都是始於社交工程，并针对加密领域从业者，值得我们多加留意。