More

    S. Korejski hakeri ‘miješaju’ taktike macOS malvera kako bi izbjegli otkrivanje

    Severnokorejski hakeri odgovorni za macOS malvere kao što su RustBucket i KANDYKORN primjećeni su kako “miješaju i uparuju” različite elemente dva različita lanca napada, koristeći RustBucket droppers za isporuku KANDYKORN-a.

    Ova otkrića dolaze iz sajber-sigurnosne firme SentinelOne, koja je takođe povezala treći malver specifičan za macOS pod nazivom ObjCShellz sa RustBucket kampanjom.

    RustBucket se odnosi na klaster aktivnosti povezan sa Lazarus grupom u kojoj se backdoored verzija aplikacije za čitanje PDF-a, nazvana SwiftLoader, koristi kao kanal za učitavanje malvera sljedeće faze napisanog u Rust-u nakon gledanja posebno izrađenog mamac dokumenta.

    Kampanja KANDYKORN, s druge strane, odnosi se na zlonamjernu kibernetičku operaciju u kojoj su blokchain inženjeri neimenovane platforme za razmjenu kriptovaluta bili ciljani putem Discorda kako bi pokrenuli sofisticiranu višestepenu sekvencu napada koja je dovela do implementacije istoimenog rezidentnog daljinski kontrolisanog trojanca s punim mogućnostima koji obitava u memoriji.

    Treći dio slagalice napada je ObjCShellz, koji je Jamf Threat Labs otkrio ranije ovog mjeseca kao korisni teret u kasnijoj fazi koji djeluje kao udaljeni shell koji izvršava shell naredbe poslane sa servera napadača.

    S. Korejski hakeri 'miješaju' taktike macOS malvera kako bi izbjegli otkrivanje - Kiber.ba

    Dalja analiza ovih kampanja od strane SentinelOne sada je pokazala da Lazarus grupa koristi SwiftLoader za distribuciju KANDYKORN-a, potvrđujući nedavni izvještaj Mandiant-a u vlasništvu Google-a o tome kako različite hakerske grupe iz Sjeverne Koreje sve više međusobno posuđuju taktike i alate.

    “Sajber krajolik DNRK-a evoluirao je u modernizovanu organizaciju sa zajedničkim alatima i naporima za ciljanje,” napomenuo je Mandiant. „Ovaj fleksibilan pristup zadatku otežava braniocima da prate, pripisuju i osujećuju zlonamjerne aktivnosti, dok omogućava ovom sada kolaborativnom protivniku da se krišom kreće većom brzinom i prilagodljivošću.”

    Ovo uključuje upotrebu novih varijanti SwiftLoader stager-a koji navodno predstavlja izvršnu datoteku pod nazivom EdoneViewer, ali, u stvarnosti, kontaktira domen pod kontrolom hakera kako bi vjerovatno preuzeo KANDYKORN RAT na osnovu preklapanja u infrastrukturi i primijenjenim taktikama.

    Otkriće dolazi pošto je AhnLab Security Emergency Response Center (ASEC) umiješao Andariel – podgrupu unutar Lazarusa – u sajber napade koji su iskorištavali sigurnosni propust u Apache ActiveMQ (CVE-2023-46604 , CVSS rezultat: 10.0) za instaliranje TigerRAT i Nukespeed backdoor-a.

    Izvor: The Hacker News

    Recent Articles

    spot_img

    Related Stories