SentinelOne ha descubierto recientemente una evolución intrigante en las tácticas empleadas por el Grupo Lazarus., el infame grupo de hackers norcoreanos.
Esta revelación se refiere específicamente a la orquestación del grupo de Campañas de malware para macOS, particularmente el RustBucket y KANDYKORN son, donde elementos de ambas cadenas de ataque dispares se combinan intrincadamente.
RustBucket y SwiftLoader: Un vistazo a la cadena de ataques
Cubo oxidado, una campaña asociada con el grupo Lazarus de hackers norcoreanos, se caracteriza por la implementación de una versión con puerta trasera de una aplicación de lectura de PDF llamada SwiftLoader. Esto sirve como conducto para cargar un malware de etapa posterior., escrito en óxido, al ver un documento señuelo meticulosamente elaborado.
Por otra parte, la campaña KANDYKORN significa una operación cibernética sofisticada, dirigido a ingenieros de blockchain de una plataforma de intercambio de criptomonedas sin nombre a través de Discord. Esta intrincada secuencia de ataque culmina con la implementación del troyano de acceso remoto residente en memoria con todas las funciones del mismo nombre. (RATA).
ObjCShellz: Una carga útil de etapa posterior
Añadiendo otra capa a este intrincado rompecabezas cibernético está el descubrimiento de ObjCShellz, un malware específico de macOS identificado por Jamf Threat Labs. Posicionado como una carga útil de etapa posterior, ObjCShellz funciona como un shell remoto, ejecutar comandos enviados desde el servidor atacante.
Tras una inspección más cercana por parte de SentinelOne, Se ha hecho evidente que el Grupo Lazarus está aprovechando SwiftLoader, un componente clave de la campaña RustBucket, para distribuir el malware KANDYKORN.. Esta colaboración subraya una tendencia creciente, como se destaca en un informe reciente de Mandiant, una subsidiaria de google, que enfatiza cómo los diferentes grupos de hackers dentro de Corea del Norte están progresivamente tomando prestadas tácticas y herramientas unos de otros..
Como parte de este panorama en evolución, El Grupo Lazarus ha implementado nuevas variantes del stager SwiftLoader, presentándose como un ejecutable llamado EdoneViewer. Sin embargo, Detrás de esta fachada se encuentra un mecanismo que contacta con un dominio controlado por el actor., probable para la recuperación de la RATA KANDYKORN. Este uso estratégico de infraestructura y tácticas superpuestas ejemplifica la adaptabilidad y sofisticación de los actores de amenazas norcoreanos..
Andariel: Un subgrupo de Lázaro
Simultaneamente, en un desarrollo paralelo, el Centro de Respuesta a Emergencias de Seguridad de AhnLab (UN SEGUNDO) ha implicado a Andariel, un subgrupo dentro de Lázaro, en ciberataques que aprovechan un fallo de seguridad en Apache ActiveMQ (CVE-2023-46604, Puntuación CVSS: 10.0). Estos ataques implican la instalación de puertas traseras NukeSped y TigerRAT., mostrando la naturaleza multifacética de las operaciones del Grupo Lazarus.
La convergencia de cepas de malware para macOS, Colaboración entre los actores de amenazas norcoreanos., y su adaptabilidad subrayan la naturaleza dinámica y evolutiva de las amenazas cibernéticas que se originan en esta región.
En retrospectiva, en 2021, como resultado del lanzamiento de al menos siete ataques a gran escala contra plataformas de criptomonedas, Lázaro hizo una ganancia de aproximadamente $400 millones valor de los activos digitales.