SentinelOne は最近、Lazarus グループが採用した戦術の興味深い進化を明らかにしました。, 悪名高い北朝鮮のハッカーグループ.
この暴露は、特にグループによる組織化に関するものである。 macOS マルウェア キャンペーン, 特にRustBucketと キャンディコーン 株, 両方の異なる攻撃チェーンの要素が複雑に組み合わされている場所.
RustBucket と SwiftLoader: 攻撃チェーンを垣間見る
ラストバケツ, 北朝鮮ハッカーのLazarusグループに関連したキャンペーン, SwiftLoader と呼ばれる PDF リーダー アプリのバックドア バージョンの展開が特徴です。. これは後続段階のマルウェアをロードするための経路として機能します, Rustで書かれた, 細心の注意を払って作成されたルアーのドキュメントを見て、.
一方で, KANDYKORNキャンペーンは高度なサイバー作戦を意味する, Discordを通じて匿名の暗号通貨交換プラットフォームのブロックチェーンエンジニアをターゲットにする. この複雑な攻撃シーケンスは、その名を冠したフル機能のメモリ常駐リモート アクセス トロイの木馬の展開で最高潮に達します。 (ねずみ).
ObjCShellz: 後段のペイロード
この複雑なサイバー パズルに別のレイヤーを追加すると、次のことがわかります。 ObjCShellz, Jamf Threat Labs によって特定された macOS 固有のマルウェア. 後段のペイロードとして位置付けられる, ObjCShellz はリモート シェルとして機能します, 攻撃者のサーバーから送信されたコマンドを実行する.
SentinelOne による詳細な検査の結果, Lazarus Group が、RustBucket キャンペーンの主要コンポーネントである SwiftLoader を利用して KANDYKORN マルウェアを配布していることが明らかになりました。. このコラボレーションは増加傾向を強調しています, Mandiantの最近のレポートで強調されているように, Googleの子会社, これは、北朝鮮内のさまざまなハッカーグループが互いに戦術やツールを徐々に借用していることを強調している。.
この進化する風景の一部として, Lazarus グループは SwiftLoader ステージャーの新しい亜種をデプロイしました, 自身をEdoneViewerという名前の実行可能ファイルとして提示します. でも, このファサードの背後には、アクターが制御するドメインに接続するメカニズムがあります。, KANDYKORN RATの回収の可能性が高い. この重複するインフラと戦術の戦略的利用は、北朝鮮の脅威アクターの適応性と洗練性を例示しています。.
アンダリエル: ラザロのサブグループ
同時に, 並行開発中, アンラボ セキュリティ緊急対応センター (秒) アンダリエルが関与している, ラザロ内のサブグループ, Apache ActiveMQ のセキュリティ欠陥を悪用したサイバー攻撃 (CVE-2023-46604, CVSSスコア: 10.0). これらの攻撃には、NukeSped および TigerRAT バックドアのインストールが含まれます。, Lazarus グループの事業の多面的な性質を示す.
macOS マルウェア株の収束, 北朝鮮の脅威アクター間の協力, そしてその適応力は、この地域から発生するサイバー脅威の動的かつ進化する性質を強調しています。.
振り返ってみると, の 2021, 暗号通貨プラットフォームに対して少なくとも7つの大規模な攻撃を開始した結果, ラザロが作った 約の利益 $400 100万 デジタル資産の価値.