Jamf Threat Labs hat eine neue macOS-Malware von BlueNoroff entdeckt, die ähnliche Eigenschaften wie die RustBucket-Kampagne aufweist. | Jamf Threat Labs has discovered new BlueNoroff macOS malware with characteristics similar to the RustBucket campaign. |
|---|---|
| Jamf Threat Labs hat eine neue macOS-Malware-Variante identifiziert, die der APT-Gruppe BlueNoroff zugeschrieben wird. Die Kampagnen von BlueNoroff sind finanziell motiviert und richten sich häufig gegen Kryptowährungsbörsen, Risikokapitalunternehmen und Banken. Während der routinemäßigen Bedrohungssuche entdeckte Jamf eine universelle Mach-O-Binärdatei, die mit einer zuvor als bösartig eingestuften Domäne kommunizierte. Diese ausführbare Datei war zum Zeitpunkt der Analyse noch nicht in VirusTotal enthalten. Die eigenständige Binärdatei mit dem Namen ProcessRequest ist ad-hoc signiert und wurde bei der Kommunikation mit der Domäne swissborg[.]blog beobachtet. Dies erregte Verdacht, zumal unter der Domain swissborg.com eine legitime Kryptowährungsbörse existiert, die unter der URL swissborg.com/blog einen legitimen Blog betreibt. Die Malware spaltet die Command-and-Control-URL (C2) in zwei separate Strings auf, die miteinander verkettet werden. Dies ist vermutlich ein Versuch, die statische Erkennung zu umgehen. Die Verwendung dieser Domain stimmt weitgehend mit den Aktivitäten von BlueNoroff in der von Jamf Threat Labs als Rustbucket-Kampagne bezeichneten Kampagne überein. Bei dieser Kampagne wendet sich der Akteur unter dem Deckmantel eines Investors oder Headhunters an eine Zielperson und gibt vor, an einer Partnerschaft interessiert zu sein oder dieser etwas Vorteilhaftes anzubieten. BlueNoroff erstellt häufig eine Domain, die zu einem legitimen Kryptounternehmen zu gehören scheint, um sich in die Aktivitäten des Netzwerks einzuschleichen. Die bösartige Domain swissborg[.]blog wurde am 31. Mai 2023 registriert und auf die IP-Adresse 104.168.214[.]151 zurückgeführt. Ein Pivoting von dieser Domain aus ergab mehrere URLs, die für die Kommunikation der Malware verwendet wurden. Zum Zeitpunkt der Analyse reagierte der C2-Server jedoch auf keine dieser URLs und ging kurz nach den Kommunikationsversuchen offline. Die IP-Adresse 104.168.214[.]151 wurde mit Malware in Verbindung gebracht, die zuvor von diesem Angreifer verwendet wurde. Analyse Die Malware ist in Objective-C geschrieben und arbeitet als sehr einfache Remote-Shell, die vom Server des Angreifers gesendete Shell-Befehle ausführt. Obwohl nicht ganz klar ist, wie der erste Zugriff erfolgte, wird diese Malware wahrscheinlich in einem späteren Stadium verwendet, um nach der Kompromittierung eines Systems Befehle manuell auszuführen. Auf den ersten Blick unterscheidet sich diese Malware stark von der bereits erwähnten RustBucket-Malware, die bei anderen Angriffen verwendet wurde, aber in beiden Fällen scheint das Ziel des Angreifers darin zu bestehen, einfache Remote-Shell-Funktionen bereitzustellen. Nach der Ausführung ruft die Malware eine Funktion mit dem Namen sendRequest auf, um eine POST-Nachricht an die fest kodierte URL hXXp://swissborg.blog/zxcv/bnm zu senden. Anschließend verwendet die Malware die Objective-C-Funktion NSProcessInfo, die es ihr ermöglicht, Informationen über den Malware-Prozess selbst zu erhalten. Anschließend ruft sie den operatingSystemVersionString ab, um die macOS-Version zu ermitteln. Ein NSMutableURLRequest-Objekt wird unter Verwendung der hartcodierten URL erstellt und die HTTP-Methode und Header-Felder werden entsprechend gesetzt. | Jamf Threat Labs has identified a new MacOS malware variant attributed to the BlueNoroff APT group. BlueNoroff campaigns are financially motivated, often targeting cryptocurrency exchanges, venture capital firms, and banks. During routine threat hunting, Jamf discovered a universal Mach-O binary communicating with a domain that was previously known to be malicious. This executable was not yet included in VirusTotal at the time of analysis. The standalone binary, named ProcessRequest, is ad hoc signed and was observed communicating with the swissborg[.]blog domain. This raised suspicion, especially since the swissborg.com domain is a legitimate cryptocurrency exchange that runs a legitimate blog at the URL swissborg.com/blog. The malware splits the Command and Control (C2) URL into two separate strings that are concatenated together. This is likely an attempt to evade static detection. The use of this domain is largely consistent with BlueNoroff’s activities in what Jamf Threat Labs calls the Rustbucket campaign. In this campaign, the actor approaches a target under the guise of an investor or headhunter and pretends to be interested in a partnership or offering them something beneficial. BlueNoroff often creates a domain that appears to belong to a legitimate crypto company in order to infiltrate the network’s activities. The malicious domain swissborg[.]blog was registered on May 31, 2023 and traced back to the IP address 104.168.214[.]151. Pivoting from this domain revealed multiple URLs used to communicate the malware. However, at the time of analysis, the C2 server did not respond to any of these URLs and went offline shortly after the communication attempts. The IP address 104.168.214[.]151 was associated with malware previously used by this attacker. Analysis The malware is written in Objective-C and works as a very simple remote shell that executes shell commands sent from the attacker’s server. Although it is not entirely clear how it was first accessed, this malware is likely to be used at a later stage to manually execute commands after a system has been compromised. At first glance, this malware is very different from the aforementioned RustBucket malware that has been used in other attacks, but in both cases the attacker’s goal appears to be to provide simple remote shell functionality. Once executed, the malware calls a function named sendRequest to send a POST message to the hardcoded URL hXXp://swissborg.blog/zxcv/bnm. The malware then uses the Objective-C function NSProcessInfo, which allows it to obtain information about the malware process itself. It then retrieves the operatingSystemVersionString to determine the macOS version. An NSMutableURLRequest object is created using the hardcoded URL and the HTTP method and header fields are set accordingly. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de