SentinelOne ha recentemente scoperto un'interessante evoluzione nelle tattiche impiegate dal Gruppo Lazarus, il famigerato gruppo di hacker nordcoreani.
Questa rivelazione riguarda specificamente l'orchestrazione del gruppo Campagne malware per macOS, in particolare il RustBucket e KANDYKORN tensioni, dove gli elementi di entrambe le catene di attacco disparate vengono combinati in modo complesso.
RustBucket e SwiftLoader: Uno sguardo alla catena di attacco
RustBucket, una campagna associata al gruppo Lazarus di hacker nordcoreani, è caratterizzato dall'implementazione di una versione backdoor di un'app di lettura PDF chiamata SwiftLoader. Questo funge da canale per caricare un malware della fase successiva, scritto in ruggine, dopo aver visionato un documento di esca meticolosamente realizzato.
D'altronde, la campagna KANDYKORN indica una sofisticata operazione informatica, prendendo di mira gli ingegneri blockchain di una piattaforma di scambio di criptovaluta senza nome tramite Discord. Questa intricata sequenza di attacco culmina con l'implementazione dell'omonimo trojan di accesso remoto residente in memoria con funzionalità complete (RAT).
ObjCShellz: Un carico utile della fase successiva
Aggiungere un altro livello a questo intricato puzzle informatico è la scoperta di ObjCShellz, un malware specifico per macOS identificato da Jamf Threat Labs. Posizionato come carico utile della fase successiva, ObjCShellz funziona come una shell remota, eseguendo comandi inviati dal server dell'aggressore.
Dopo un'ispezione più attenta da parte di SentinelOne, è diventato evidente che il gruppo Lazarus sta sfruttando SwiftLoader – un componente chiave della campagna RustBucket – per distribuire il malware KANDYKORN. Questa collaborazione sottolinea una tendenza in aumento, come evidenziato in un recente rapporto di Mandiant, una filiale di Google, che sottolinea come diversi gruppi di hacker all’interno della Corea del Nord stiano progressivamente prendendo in prestito tattiche e strumenti gli uni dagli altri.
Come parte di questo panorama in evoluzione, il Gruppo Lazarus ha implementato nuove varianti dello stager SwiftLoader, presentandosi come un eseguibile denominato EdoneViewer. Tuttavia, dietro questa facciata si nasconde un meccanismo che contatta un dominio controllato dall'attore, probabilmente per il recupero del RATTO KANDYKORN. Questo uso strategico di infrastrutture e tattiche sovrapposte esemplifica l’adattabilità e la sofisticatezza degli autori delle minacce nordcoreane.
Andariel: Un sottogruppo Lazzaro
Contemporaneamente, in uno sviluppo parallelo, il Centro di risposta alle emergenze di sicurezza AhnLab (UN SECONDO) ha implicato Andariel, un sottogruppo all'interno di Lazarus, negli attacchi informatici che sfruttano una falla di sicurezza in Apache ActiveMQ (CVE-2023-46604, Punteggio CVSS: 10.0). Questi attacchi comportano l'installazione di backdoor NukeSped e TigerRAT, dimostrando la natura multiforme delle operazioni del Gruppo Lazarus.
La convergenza dei ceppi malware macOS, collaborazione tra gli autori delle minacce nordcoreane, e la loro adattabilità sottolineano la natura dinamica ed in evoluzione delle minacce informatiche provenienti da questa regione.
Ripensandoci, in 2021, come risultato del lancio di almeno sette attacchi su larga scala contro piattaforme di criptovaluta, Lazzaro fece un utile di circa $400 milione valore delle risorse digitali.