SentinelOne a récemment découvert une évolution intrigante dans les tactiques employées par le groupe Lazarus., le tristement célèbre groupe de hackers nord-coréens.
Cette révélation concerne spécifiquement l'orchestration du groupe Campagnes contre les logiciels malveillants macOS, en particulier le RustBucket et KANDYKORN souches, où les éléments des deux chaînes d'attaque disparates sont complexement combinés.
RustBucket et SwiftLoader: Un aperçu de la chaîne d'attaque
Seau de rouille, une campagne associée au groupe Lazarus de hackers nord-coréens, se caractérise par le déploiement d'une version détournée d'une application de lecture de PDF appelée SwiftLoader. Cela sert de canal pour charger un malware ultérieur., écrit en Rust, à la visualisation d'un document de leurre méticuleusement conçu.
D'autre part, la campagne KANDYKORN signifie une cyber-opération sophistiquée, ciblant les ingénieurs blockchain d'une plateforme d'échange de crypto-monnaie anonyme via Discord. Cette séquence d'attaque complexe culmine avec le déploiement du cheval de Troie d'accès à distance résident en mémoire complet éponyme. (RAT).
ObjCShellz: Une charge utile ultérieure
La découverte de ObjCShellz, un malware spécifique à macOS identifié par Jamf Threat Labs. Positionné comme une charge utile de stade ultérieur, ObjCShellz fonctionne comme un shell distant, exécuter des commandes envoyées par le serveur attaquant.
Après une inspection plus approfondie par SentinelOne, il est devenu évident que le groupe Lazarus utilise SwiftLoader – un élément clé de la campagne RustBucket – pour distribuer le malware KANDYKORN.. Cette collaboration souligne une tendance croissante, comme le souligne un récent rapport de Mandiant, une filiale de Google, qui souligne comment différents groupes de hackers en Corée du Nord empruntent progressivement des tactiques et des outils les uns aux autres.
Dans le cadre de ce paysage en évolution, le groupe Lazarus a déployé de nouvelles variantes du stager SwiftLoader, se présentant comme un exécutable nommé EdoneViewer. Cependant, derrière cette façade se cache un mécanisme qui contacte un domaine contrôlé par un acteur, probable pour la récupération du RAT KANDYKORN. Cette utilisation stratégique d’infrastructures et de tactiques qui se chevauchent illustre l’adaptabilité et la sophistication des acteurs de la menace nord-coréenne..
Andariel: Un sous-groupe de Lazare
Dans le même temps, dans un développement parallèle, le centre de réponse d'urgence de sécurité AhnLab (UNE SECONDE) a impliqué Andariel, un sous-groupe au sein de Lazarus, dans des cyberattaques exploitant une faille de sécurité dans Apache ActiveMQ (CVE-2023-46604, Note CVSS: 10.0). Ces attaques impliquent l'installation de portes dérobées NukeSped et TigerRAT, mettant en valeur la nature multiforme des opérations du groupe Lazarus.
La convergence des souches de malwares macOS, collaboration entre les acteurs de la menace nord-coréenne, et leur adaptabilité soulignent la nature dynamique et évolutive des cybermenaces provenant de cette région.
En rétrospective, à 2021, à la suite du lancement d'au moins sept attaques à grande échelle contre des plateformes de crypto-monnaie, Lazare a fait un bénéfice d'environ $400 million valeur des actifs numériques.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: