近期，研究人员发现了恶意软件RUSTBUCKET的新变种。RUSTBUCKET是一种针对macOS系统的恶意软件家族，归因于BlueNorOff组织。新变种增加了曾经未观察到的持久化功能，这反映了该恶意软件仍处于开发阶段，并且该变种在VirusTotal平台中未被任何引擎检测到。RUSTBUCKET新变种通过在“/Users/<user>/Library/LaunchAgents/com.apple.systemupdate.plist”路径中添加一个plist文件来建立持久性，并将恶意软件复制到“/Users/<user>/Library/Metadata/System Update”路径中。

“RustBucket”被研究人员归因于 BlueNoroff APT，该组织通常被认为是Lazarus组织的子组织。RustBucket的攻击分为三个阶段：伪装成 PDF 查看器应用程序的 Applet用 Swift 和 Objective-C 编写的有效负载执行有效负载并收集大量主机信息，从而实现了持久性

至少从2022年12月开始，研究人员观察到Bluenoroff组织使用了RustBucket恶意软件，这是一种针对 macOS运行系统的 Rust 和 Objective-C 编写的恶意软件。RustBucket 感染链由一个 macOS 安装程序组成，该安装程序安装了一个带后门但功能正常的 PDF 阅读器。

RustBucket是一个 macOS 恶意软件系列，它与命令和控制 (C2) 服务器通信以下载和执行各种有效负载，疑似是BlueNoroff APT组织使用的工具。RustBucket恶意软件可以收集系统信息，包括正在运行的进程列表、当前时间以及它是否在虚拟机中运行，并允许攻击者在受感染的机器上执行各种操作。恶意软件的工作流程如下所示：

BlueNoroff 组织是一个出于经济动机攻击者。12月27日，研究人员披露了该团伙绕过Windows网络标记(MotW)保护的新方法。当用户打开从网络上下载的文件时，Windows会显示一条警告消息。为此，攻击者使用了光盘镜像（.iso）和虚拟硬盘（.vhd）文件格式。另外还观察到一个新的 Visual Basic 脚本、Windows 批处理文件和一个 Windows 可执行文件。

近期安恒安全数据部猎影实验室捕获到一批疑似来自Lazarus组织的样本，这些样本目标指向风投、加密货币等前沿产业。一些诱饵文档标题伪装成受密码保护的各类相关文档，引导用户点击意为密码的恶意lnk文件，在点击后下载执行hta文件并部署后门。这些文件从攻击目标和手法上与Lazarus组织关联度较高，疑似来自Lazarus组织的BlueNorOff小组。

4月14日，FBI指控，朝鲜Lazarus组织和 APT38组织与大规模加密货币窃取活动有关。此次窃取事件发生在3月23日，热门链游区块链NFT游戏Axie Infinity的Ronin Network被窃取了 173,600 个以太坊和 2550 万美元的代币 (USDC)，价值6.2 亿美元，是有史以来最大的加密货币窃取事件。

BlueNoroff组织是一个出于经济动机的威胁团伙，是朝鲜Lazarus APT组织的子组织。1月13日，研究人员披露了BlueNoroff发起的复杂网络钓鱼和社会工程攻击活动，此次活动的主要目标为加密货币初创公司。 简况BlueNoroff组织试图渗透到加密货币初创公司的通信中，目标是建立个人之间的互动图并了解员工可能感兴趣的主题，从而发起高质量的社会工程攻击。为了跟踪受害者的活动，BlueNoroff 冒充了以下公司： 第一个感染链使用具有 VBS 脚本的文档，该脚本利用旧的远程模板注入漏洞 (CVE-2017-0199)，感染链如下图：