SentinelOne har for nylig afsløret en spændende udvikling i den taktik, der anvendes af Lazarus Group, den berygtede nordkoreanske hackergruppe.
Denne åbenbaring vedrører specifikt gruppens orkestrering af macOS malware-kampagner, især RustBucket og KANDYKORN stammer, hvor elementer fra begge uensartede angrebskæder bliver indviklet kombineret.
RustBucket og SwiftLoader: Et kig ind i angrebskæden
Rustspand, en kampagne forbundet med Lazarus Group af nordkoreanske hackere, er kendetegnet ved implementeringen af en bagdørsversion af en PDF-læser-app kaldet SwiftLoader. Dette tjener som en kanal til indlæsning af en efterfølgende fase af malware, skrevet i Rust, ved visning af et omhyggeligt udformet lokkedokument.
På den anden side, KANDYKORN-kampagnen betegner en sofistikeret cyberoperation, målrettet mod blockchain-ingeniører af en unavngiven cryptocurrency-udvekslingsplatform gennem Discord. Denne indviklede angrebssekvens kulminerer i implementeringen af den eponyme fuldfunktionelle hukommelsesresidente fjernadgangstrojaner (RAT).
ObjCShellz: En nyttelast i senere trin
At tilføje endnu et lag til dette indviklede cyberpuslespil er opdagelsen af ObjCShellz, en macOS-specifik malware identificeret af Jamf Threat Labs. Placeret som en senere nyttelast, ObjCShellz fungerer som en ekstern shell, udføre kommandoer sendt fra angriberserveren.
Ved nærmere eftersyn af SentinelOne, det er blevet tydeligt, at Lazarus Group udnytter SwiftLoader – en nøglekomponent i RustBucket-kampagnen – til at distribuere KANDYKORN malware. Dette samarbejde understreger en stigende tendens, som fremhævet i en nylig rapport fra Mandiant, et datterselskab af Google, som understreger, hvordan forskellige hackergrupper i Nordkorea gradvist låner taktikker og værktøjer fra hinanden.
Som en del af dette landskab i udvikling, Lazarus Group har implementeret nye varianter af SwiftLoader stager, præsenterer sig selv som en eksekverbar ved navn EdoneViewer. Men, bag denne facade ligger en mekanisme, der kontakter et aktørstyret domæne, sandsynligvis for at hente KANDYKORN RAT. Denne strategiske brug af overlappende infrastruktur og taktik eksemplificerer nordkoreanske trusselsaktørers tilpasningsevne og sofistikerede.
Andariel: En Lazarus-undergruppe
Samtidigt, i en parallel udvikling, AhnLab Security Emergency Response Center (ASEC) har impliceret Andariel, en undergruppe inden for Lazarus, i cyberangreb, der udnytter en sikkerhedsbrist i Apache ActiveMQ (CVE-2023-46604, CVSS-score: 10.0). Disse angreb involverer installation af NukeSped og TigerRAT bagdøre, viser den mangefacetterede karakter af Lazarus-gruppens aktiviteter.
Konvergensen af macOS malware-stammer, samarbejde mellem nordkoreanske trusselsaktører, og deres tilpasningsevne understreger den dynamiske og udviklende karakter af cybertrusler, der stammer fra denne region.
Set i bakspejlet, i 2021, som et resultat af at lancere mindst syv storstilede angreb mod kryptovaluta-platforme, Lazarus lavet et overskud på ca $400 millioner værdi af digitale aktiver.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: