Severnokorejski hakeri odgovorni za macOS malvere kao što su RustBucket i KANDYKORN primjećeni su kako “miješaju i uparuju” različite elemente dva različita lanca napada, koristeći RustBucket droppers za isporuku KANDYKORN-a.
Ova otkrića dolaze iz sajber-sigurnosne firme SentinelOne, koja je takođe povezala treći malver specifičan za macOS pod nazivom ObjCShellz sa RustBucket kampanjom.
RustBucket se odnosi na klaster aktivnosti povezan sa Lazarus grupom u kojoj se backdoored verzija aplikacije za čitanje PDF-a, nazvana SwiftLoader, koristi kao kanal za učitavanje malvera sljedeće faze napisanog u Rust-u nakon gledanja posebno izrađenog mamac dokumenta.
Kampanja KANDYKORN, s druge strane, odnosi se na zlonamjernu kibernetičku operaciju u kojoj su blokchain inženjeri neimenovane platforme za razmjenu kriptovaluta bili ciljani putem Discorda kako bi pokrenuli sofisticiranu višestepenu sekvencu napada koja je dovela do implementacije istoimenog rezidentnog daljinski kontrolisanog trojanca s punim mogućnostima koji obitava u memoriji.
Treći dio slagalice napada je ObjCShellz, koji je Jamf Threat Labs otkrio ranije ovog mjeseca kao korisni teret u kasnijoj fazi koji djeluje kao udaljeni shell koji izvršava shell naredbe poslane sa servera napadača.
Dalja analiza ovih kampanja od strane SentinelOne sada je pokazala da Lazarus grupa koristi SwiftLoader za distribuciju KANDYKORN-a, potvrđujući nedavni izvještaj Mandiant-a u vlasništvu Google-a o tome kako različite hakerske grupe iz Sjeverne Koreje sve više međusobno posuđuju taktike i alate.
“Sajber krajolik DNRK-a evoluirao je u modernizovanu organizaciju sa zajedničkim alatima i naporima za ciljanje,” napomenuo je Mandiant. „Ovaj fleksibilan pristup zadatku otežava braniocima da prate, pripisuju i osujećuju zlonamjerne aktivnosti, dok omogućava ovom sada kolaborativnom protivniku da se krišom kreće većom brzinom i prilagodljivošću.”
Ovo uključuje upotrebu novih varijanti SwiftLoader stager-a koji navodno predstavlja izvršnu datoteku pod nazivom EdoneViewer, ali, u stvarnosti, kontaktira domen pod kontrolom hakera kako bi vjerovatno preuzeo KANDYKORN RAT na osnovu preklapanja u infrastrukturi i primijenjenim taktikama.
Otkriće dolazi pošto je AhnLab Security Emergency Response Center (ASEC) umiješao Andariel – podgrupu unutar Lazarusa – u sajber napade koji su iskorištavali sigurnosni propust u Apache ActiveMQ (CVE-2023-46604 , CVSS rezultat: 10.0) za instaliranje TigerRAT i Nukespeed backdoor-a.
Izvor: The Hacker News
