近日，外媒报道，朝鲜支持的 BlueNorOff 威胁组织以 Apple 客户为目标，使用名为 ObjCShellz 的新 macOS 恶意软件，以投资者或猎头的名义接触目标。

BlueNorOff是一个出于经济动机的黑客组织，以攻击加密货币交易所和全球风险投资公司和银行等金融组织而闻名。

Jamf 恶意软件分析师观察到的恶意负载（标记为ProcessRequest）与swissborg[.]blog进行通信，这是一个于 5 月 31 日注册、托管在104.168.214[.]151（BlueNorOff 基础设施的 IP 地址部分）的攻击者控制的域。

该命令与控制 (C2) 域模仿 swissborg.com/blog 上提供的合法加密货币交易所的网站。传输到服务器的所有数据都被分成两个字符串，并在另一端缝合在一起，以逃避基于静态的检测。

有后门的 Mac

ObjCShellz 是一种基于 Objective-C 的恶意软件，与之前 BlueNorOff 攻击中部署的其他恶意负载有很大不同。它还设计用于在使用未知的初始访问向量删除后在受感染的 macOS 系统上打开远程 shell。

攻击者在后利用阶段使用它在受感染的 Intel 和 Arm Mac 上执行命令。

“虽然相当简单，但这种恶意软件仍然非常实用，将帮助攻击者实现他们的目标。这似乎是我们看到的来自该 APT 组织的最新恶意软件的主题，”Jamf 说。

“根据 BlueNorOff 之前执行的攻击，我们怀疑该恶意软件是通过社会工程传播的多阶段恶意软件的后期阶段。”