Os autores de ameaças norte-coreanos por trás de variantes de malwares para macOS, como RustBucket e KANDYKORN, têm sido observados "misturando e combinando" diferentes elementos das duas cadeias de ataque distintas, aproveitando os droppers do RustBucket para entregar o KANDYKORN.
As conclusões vêm da empresa de cibersegurança SentinelOne, que também ligou um terceiro malware específico para macOS chamado ObjCShellz à campanha RustBucket.
RustBucket se refere a um grupo de atividades ligado ao Grupo Lazarus, no qual uma versão adulterada de um aplicativo leitor de PDF, chamado SwiftLoader, é usado como um conduto para carregar um malware escrito em Rust ao visualizar um documento especialmente elaborado.
A campanha KANDYKORN, por outro lado, se refere a uma operação cibernética maliciosa na qual engenheiros de blockchain de uma plataforma de troca de criptoattivos ainda sem nome foram alvo via Discord para iniciar uma sofisticada sequência de ataque multiestágio que levou ao desenvolvimento do trojan de acesso remoto residente em memória de mesmo nome.
A terceira peça do quebra-cabeça do ataque é ObjCShellz, que a Jamf Threat Labs revelou este mês como um payload de estágio posterior que atua como um shell remoto que executa comandos do shell enviados do servidor do atacante.
Análises detalhadas dessas campanhas pela SentinelOne agora mostraram que o Grupo Lazarus está utilizando SwiftLoader para distribuir KANDYKORN, corroborando um relatório recente da Mandiant, propriedade do Google, sobre como diferentes grupos de hackers da Coreia do Norte estão cada vez mais utilizando as táticas e ferramentas um do outro.
"A paisagem cibernética da RPDC evoluiu para uma organização otimizada com uso compartilhado de ferramentas e esforços de segmentação", destacou a Mandiant.
"Esta abordagem flexível para a execução de tarefas torna difícil para os defensores rastrear, atribuir e frustrar atividades maliciosas, ao mesmo tempo que permite a este adversário colaborativo se mover de forma furtiva com maior velocidade e adaptabilidade."
Isso inclui o uso de novas variantes do SwiftLoader que se apresentam como um executável chamado EdoneViewer, mas que, na realidade, entram em contato com um domínio controlado pelo ator para provavelmente recuperar o RAT KANDYKORN com base em sobreposições na infraestrutura e nas táticas empregadas.
A divulgação ocorre quando o Centro de Resposta a Emergências de Segurança da AhnLab (ASEC) implicou Andariel - um subgrupo dentro de Lazarus - em ataques cibernéticos que exploram uma falha de segurança no Apache ActiveMQ (
CVE-2023-46604
, nota de CVSS: 10.0) para instalação de backdoors NukeSped e TigerRAT.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...