SecurityWorldMarket

04.12.2023

Ny skadelig programvare oppdaget

Sikkerhetsekspert Sara Fernholm i Jamf

Jamf Threat Labs har oppdaget en ny skadelig programvare rettet mot MacOS-brukere og som har mange likheter med BlueNoroffs Rustbucket-kampanjen som Jamf oppdaget tidligere i år. Den nye skadelige programvaren er enkelt designet, men svært effektiv. Sikkerhetsekspert Sara Fernholm i Jamf forklarer hva som har skjedd og hvordan du kan beskytte deg mot den nye trusselen.

Hvem står bak skadeprogrammet og hva er deres motiver?
Jamf Threat Labs er ganske sikker på at den nordkoreanske gruppen BlueNoroff står bak skadevaren. Denne gruppen står bak mange såkalte Advanced Persistent Threats og er en undergruppe av den beryktede «Lazarus Group» som ofte retter seg mot kryptobørser, venturekapitalvirksomheter og banker for å utføre økonomisk motiverte angrep. De siste månedene har mange sikkerhetsselskaper funnet ut at gruppen utfører angrep på virksomheter for å stjele kryptovaluta.

Nå har Jamf Threat Labs oppdaget en tidligere uidentifisert skadelig programvare som brukes til å utføre nettopp slike angrep. Programvaren gjør det mulig for angriperne å kjøre datamaskinen i bakgrunnen mens brukeren er koblet til Internett.

Hvilke metoder bruker BlueNoroff?
BlueNoroff fortsetter å angripe brukere med de samme sosiale manipulasjonsmetodene som før. Angriperne unngår også antivirusdeteksjon ved å bruke tidligere uidentifisert skadelig programvare. Dette tyder på at deres arsenal av skadevare er veldig stort.

Påvirker det bare MacOS-brukere?
Ja, denne spesifikke skadevaren fungerer bare på MacOS. Imidlertid har andre leverandører oppdaget lignende angrep fra samme aktør rettet mot Windows-datamaskiner.

Hvordan ble skadelig programvare oppdaget?
Jamf Threat Labs identifiserte programmet da det kommuniserte med et domene som Jamf tidligere hadde klassifisert som skadelig. På VirusTotal-nettstedet (en database som brukes til å sjekke om filer inneholder skadelig programvare) var det imidlertid grønt. Hadde ikke saken blitt undersøkt nærmere, ville programmet gått upåaktet hen fordi det ikke hadde vært brukt av angripere tidligere.

Hva er de viktigste risikoene forbundet med denne skadelige programvaren?
Programmet lar angripere sende fjernkommandoer til systemet ditt og utføre kommandoer i bakgrunnen. Potensielt kan dette føre til at man tillater levering av farlig nyttelast inn i systemet.

Hva er hovedmålet til angriperne?
Hovedmålet med mye skadelig programvare er å tillate at eksterne kommandoer sendes fra angriperen, som deretter kan motta resultatene av disse kommandoene. Hovedmålet til denne spesifikke aktøren har vært å bruke fjernkommandoer for å stjele kryptovaluta.

Hvor lett er det for andre hackere å utnytte denne skadelige programvaren?
Malware er faktisk ganske enkel i sin funksjonalitet. Den vanskeligste delen er å overbevise ofrene om å faktisk kjøre programvaren og gi de de nødvendige tillatelsene. Jamf har ikke observert hvem ofrene var i denne saken, men BlueNoroff er kjent for å tiltrekke seg ofre ved å kontakte og bygge relasjoner gjennom chattegrupper.

Hva bør bedrifter gjøre for å forhindre et angrep?
Først av alt, ikke ta for gitt at Mac-er er beskyttet mot skadelig programvare, spesielt når det kommer til sofistikerte angripere med spesifikke mål. Brukere bør opplæres til å gjenkjenne sosial manipulasjon. Dette gjelder også utviklere og teknisk personell, som BlueNoroff vanligvis retter seg mot.

Hva bør du gjøre hvis du oppdager et angrep?
Når en angriper har kommet inn på systemet ditt, kan det være svært vanskelig å spore aktiviteten deres og sikre at de har forlatt systemet. I noen tilfeller kan en avansert angriper også ha flyttet sideveis til andre datamaskiner på nettverket. Vår anbefaling er å gjennomføre en fullstendig undersøkelse av et profesjonelt team for hendelseshåndtering.


Nyheter fra hjemmesiden
Til "Bedriftsnyheter"  

Leverandører
Endre marked
Global North America Middle East United Kingdom Sweden Norway Denmark
Tilbake til toppen