SentinelOne descobriu recentemente uma evolução intrigante nas táticas empregadas pelo Grupo Lazarus, o infame grupo de hackers norte-coreanos.
Esta revelação refere-se especificamente à orquestração do grupo de Campanhas de malware macOS, particularmente o RustBucket e KANDYKORN estirpes, onde elementos de ambas as cadeias de ataque diferentes estão sendo intrinsecamente combinados.
RustBucket e SwiftLoader: Um vislumbre da cadeia de ataque
RustBucket, uma campanha associada ao Grupo Lazarus de hackers norte-coreanos, é caracterizado pela implantação de uma versão backdoor de um aplicativo leitor de PDF chamado SwiftLoader. Isso serve como um canal para carregar um malware de estágio subsequente, escrito em ferrugem, após a visualização de um documento de isca meticulosamente elaborado.
Por outro lado, a campanha KANDYKORN significa uma operação cibernética sofisticada, visando engenheiros de blockchain de uma plataforma de troca de criptomoedas sem nome por meio do Discord. Essa intrincada sequência de ataques culmina na implantação do trojan de acesso remoto residente em memória com todos os recursos de mesmo nome (RATO).
ObjCShellz: Uma carga útil de estágio posterior
Adicionando outra camada a este intrincado quebra-cabeça cibernético está a descoberta de ObjCShellz, um malware específico do macOS identificado pelo Jamf Threat Labs. Posicionado como uma carga útil de estágio posterior, ObjCShellz funciona como um shell remoto, executando comandos enviados do servidor invasor.
Após uma inspeção mais detalhada pelo SentinelOne, tornou-se evidente que o Grupo Lazarus está aproveitando o SwiftLoader – um componente chave da campanha RustBucket – para distribuir o malware KANDYKORN. Esta colaboração sublinha uma tendência crescente, conforme destacado em um relatório recente da Mandiant, uma subsidiária do Google, que enfatiza como diferentes grupos de hackers na Coreia do Norte estão progressivamente emprestando táticas e ferramentas uns dos outros.
Como parte desta paisagem em evolução, o Grupo Lazarus implantou novas variantes do stager SwiftLoader, apresentando-se como um executável chamado EdoneViewer. Contudo, por trás dessa fachada está um mecanismo que entra em contato com um domínio controlado por um ator, provável para a recuperação do RAT KANDYKORN. Este uso estratégico de infraestruturas e táticas sobrepostas exemplifica a adaptabilidade e sofisticação dos atores de ameaças norte-coreanos.
Andariel: Um subgrupo de Lázaro
Simultaneamente, num desenvolvimento paralelo, o Centro de Resposta a Emergências de Segurança AhnLab (UM SEGUNDO) implicou Andariel, um subgrupo dentro do Lazarus, em ataques cibernéticos explorando uma falha de segurança no Apache ActiveMQ (CVE-2023-46604, pontuação CVSS: 10.0). Esses ataques envolvem a instalação de backdoors NukeSped e TigerRAT, mostrando a natureza multifacetada das operações do Grupo Lazarus.
A convergência de cepas de malware para macOS, colaboração entre atores de ameaças norte-coreanos, e a sua adaptabilidade sublinham a natureza dinâmica e evolutiva das ameaças cibernéticas originárias desta região.
Em retrospecto, no 2021, como resultado do lançamento de pelo menos sete ataques em larga escala contra plataformas de criptomoedas, Lázaro fez um lucro de aproximadamente $400 milhão valor em ativos digitais.