SentinelOne heeft onlangs een intrigerende evolutie ontdekt in de tactieken van de Lazarus Group, de beruchte Noord-Koreaanse hackersgroep.
Deze openbaring heeft specifiek betrekking op de orkestratie van de groep macOS-malwarecampagnes, vooral de RustBucket en KANDYKORN stammen, waar elementen uit beide ongelijksoortige aanvalsketens op ingewikkelde wijze worden gecombineerd.
RustBucket en SwiftLoader: Een kijkje in de aanvalsketen
RoestEmmer, een campagne geassocieerd met de Lazarus Group van Noord-Koreaanse hackers, wordt gekenmerkt door de inzet van een achterdeurversie van een PDF-lezer-app genaamd SwiftLoader. Dit dient als kanaal voor het laden van malware in de volgende fase, geschreven in Roest, bij het bekijken van een zorgvuldig vervaardigd kunstaasdocument.
Anderzijds, de KANDYKORN-campagne staat voor een geavanceerde cyberoperatie, gericht op blockchain-ingenieurs van een naamloos cryptocurrency-uitwisselingsplatform via Discord. Deze ingewikkelde aanvalsreeks culmineert in de inzet van de gelijknamige, volledig uitgeruste trojan voor geheugenresidente toegang op afstand (RAT).
ObjCShellz: Een lading in een later stadium
Het toevoegen van een nieuwe laag aan deze ingewikkelde cyberpuzzel is de ontdekking van ObjCShellz, een macOS-specifieke malware geïdentificeerd door Jamf Threat Labs. Gepositioneerd als een lading in een later stadium, ObjCSellz functioneert als een externe shell, het uitvoeren van opdrachten die vanaf de aanvallerserver zijn verzonden.
Bij nadere inspectie door SentinelOne, het is duidelijk geworden dat de Lazarus Group SwiftLoader – een belangrijk onderdeel van de RustBucket-campagne – gebruikt om de KANDYKORN-malware te verspreiden. Deze samenwerking onderstreept een stijgende trend, zoals benadrukt in een recent rapport van Mandiant, een dochteronderneming van Google, waarin wordt benadrukt hoe verschillende hackergroepen binnen Noord-Korea geleidelijk tactieken en hulpmiddelen van elkaar lenen.
Als onderdeel van dit evoluerende landschap, de Lazarus Group heeft nieuwe varianten van de SwiftLoader stager ingezet, zichzelf presenteert als een uitvoerbaar bestand met de naam EdoneViewer. Echter, achter deze façade schuilt een mechanisme dat contact maakt met een door actoren gecontroleerd domein, waarschijnlijk voor het terughalen van de KANDYKORN RAT. Dit strategische gebruik van overlappende infrastructuur en tactieken is een voorbeeld van het aanpassingsvermogen en de verfijning van Noord-Koreaanse dreigingsactoren.
Andariel: Een Lazarus-subgroep
tegelijkertijd, in een parallelle ontwikkeling, het AhnLab Security Emergency Response Center (EEN SECONDE) heeft Andariel erbij betrokken, een subgroep binnen Lazarus, bij cyberaanvallen waarbij gebruik wordt gemaakt van een beveiligingsfout in Apache ActiveMQ (CVE-2023-46604, CVSS-score: 10.0). Deze aanvallen omvatten de installatie van NukeSped- en TigerRAT-achterdeurtjes, waarin de veelzijdige aard van de activiteiten van de Lazarus Group wordt getoond.
De convergentie van macOS-malwaresoorten, samenwerking tussen Noord-Koreaanse dreigingsactoren, en hun aanpassingsvermogen onderstrepen het dynamische en evoluerende karakter van cyberdreigingen die uit deze regio voortkomen.
achteraf, in 2021, als gevolg van het lanceren van ten minste zeven grootschalige aanvallen op cryptocurrency-platforms, Lazarus gemaakt een winst van ca $400 miljoen waarde aan digitale activa.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: