SentinelOne hat kürzlich eine faszinierende Entwicklung in den Taktiken der Lazarus-Gruppe aufgedeckt, die berüchtigte nordkoreanische Hackergruppe.
Diese Offenbarung bezieht sich speziell auf die Orchestrierung der Gruppe macOS-Malware-Kampagnen, insbesondere der RustBucket und KANDYKORN Stämme, wo Elemente aus beiden unterschiedlichen Angriffsketten auf komplexe Weise kombiniert werden.
RustBucket und SwiftLoader: Ein Blick in die Angriffskette
Rostlaube, eine Kampagne im Zusammenhang mit der Lazarus-Gruppe nordkoreanischer Hacker, zeichnet sich durch die Bereitstellung einer Backdoor-Version einer PDF-Reader-App namens SwiftLoader aus. Dies dient als Kanal zum Laden einer Malware der nächsten Stufe, geschrieben in Rust, beim Betrachten eines sorgfältig ausgearbeiteten Köderdokuments.
Andererseits, Die KANDYKORN-Kampagne steht für eine raffinierte Cyber-Operation, Zielgruppe sind Blockchain-Ingenieure einer unbenannten Kryptowährungs-Austauschplattform über Discord. Diese komplizierte Angriffssequenz gipfelt in der Bereitstellung des gleichnamigen, voll funktionsfähigen, speicherresidenten RAS-Trojaners (RAT).
ObjCShellz: Eine spätere Nutzlast
Die Entdeckung von fügt diesem komplizierten Cyber-Rätsel eine weitere Ebene hinzu ObjCShellz, eine macOS-spezifische Malware, die von Jamf Threat Labs identifiziert wurde. Als spätere Nutzlast positioniert, ObjCShellz fungiert als Remote-Shell, Ausführen von Befehlen, die vom Angreiferserver gesendet werden.
Bei näherer Betrachtung durch SentinelOne, Es hat sich herausgestellt, dass die Lazarus Group SwiftLoader – eine Schlüsselkomponente der RustBucket-Kampagne – nutzt, um die KANDYKORN-Malware zu verbreiten. Diese Zusammenarbeit unterstreicht einen zunehmenden Trend, wie in einem aktuellen Bericht von Mandiant hervorgehoben, eine Tochtergesellschaft von Google, Dies unterstreicht, wie verschiedene Hackergruppen in Nordkorea zunehmend Taktiken und Werkzeuge voneinander übernehmen.
Als Teil dieser sich entwickelnden Landschaft, Die Lazarus Group hat neue Varianten des SwiftLoader-Stagingers eingesetzt, präsentiert sich als ausführbare Datei mit dem Namen EdoneViewer. Jedoch, Hinter dieser Fassade verbirgt sich ein Mechanismus, der eine vom Akteur kontrollierte Domäne kontaktiert, wahrscheinlich für die Bergung der KANDYKORN-RATTE. Dieser strategische Einsatz sich überschneidender Infrastrukturen und Taktiken ist ein Beispiel für die Anpassungsfähigkeit und Raffinesse nordkoreanischer Bedrohungsakteure.
Andariel: Eine Lazarus-Untergruppe
Gleichzeitig, in einer parallelen Entwicklung, das AhnLab Security Emergency Response Center (EINE SEKUNDE) hat Andariel verwickelt, eine Untergruppe innerhalb von Lazarus, bei Cyberangriffen, die eine Sicherheitslücke in Apache ActiveMQ ausnutzen (CVE-2023-46604, CVSS-Score: 10.0). Diese Angriffe beinhalten die Installation von NukeSped- und TigerRAT-Hintertüren, Dies zeigt die Vielschichtigkeit der Aktivitäten der Lazarus-Gruppe.
Die Konvergenz der macOS-Malware-Stämme, Zusammenarbeit zwischen nordkoreanischen Bedrohungsakteuren, und ihre Anpassungsfähigkeit unterstreichen die Dynamik und Weiterentwicklung der von dieser Region ausgehenden Cyber-Bedrohungen.
Retrospektiv, in 2021, als Ergebnis des Starts von mindestens sieben groß angelegten Angriffen gegen Kryptowährungsplattformen, Lazarus gemacht ein Gewinn von ca $400 Million Wert digitaler Vermögenswerte.