RustBucket ve KANDYKORN gibi macOS kötü amaçlı yazılım türlerinin arkasındaki Kuzey Koreli tehdit aktörlerinin, KANDYKORN’u sunmak için RustBucket düşürücülerden yararlanarak iki farklı saldırı zincirinin farklı unsurlarını “karıştırıp eşleştirdiği” gözlemlendi.
bulgular ObjCShellz adlı üçüncü bir macOS’a özel kötü amaçlı yazılımı da RustBucket kampanyasına bağlayan siber güvenlik firması SentinelOne’dan geliyor.
RustBucket, SwiftLoader olarak adlandırılan bir PDF okuyucu uygulamasının arka kapılı sürümünün, özel hazırlanmış bir yem belgesi görüntülendikten sonra Rust’ta yazılmış bir sonraki aşama kötü amaçlı yazılımı yüklemek için bir kanal olarak kullanıldığı, Lazarus Grubuna bağlı bir etkinlik kümesini ifade eder.
Öte yandan KANDYKORN kampanyası, isimsiz bir kripto değişim platformunun blockchain mühendislerinin, adını taşıyan tam özellikli belleğin konuşlandırılmasına yol açan karmaşık, çok aşamalı bir saldırı dizisini başlatmak üzere Discord aracılığıyla hedef alındığı kötü niyetli bir siber operasyonu ifade ediyor. yerleşik uzaktan erişim truva atı.
Saldırı bulmacasının üçüncü parçası, Jamf Threat Labs’in bu ayın başlarında saldırgan sunucudan gönderilen kabuk komutlarını yürüten uzak bir kabuk görevi gören daha sonraki aşamadaki bir yük olarak ortaya çıkardığı ObjCShellz’dir.
Bu kampanyaların SentinelOne tarafından daha ayrıntılı analizi, Lazarus Grubunun KANDYKORN’u dağıtmak için SwiftLoader’ı kullandığını gösterdi; bu da Google’ın sahibi olduğu Mandiant’ın, Kuzey Kore’deki farklı hacker gruplarının giderek birbirlerinin taktiklerini ve araçlarını nasıl ödünç aldığına ilişkin yakın tarihli bir raporunu doğruluyor.
Mandiant, “Kuzey Kore’nin siber ortamı, ortak araçlar ve hedefleme çabaları ile modern bir organizasyona dönüştü” dedi. “Görevlendirmeye yönelik bu esnek yaklaşım, savunucuların kötü niyetli etkinlikleri izlemesini, ilişkilendirmesini ve engellemesini zorlaştırırken, artık işbirlikçi olan bu düşmanın daha büyük bir hız ve uyum yeteneğiyle gizlice hareket etmesine olanak tanıyor.”
Bu, EdoneViewer adlı yürütülebilir bir dosya olduğu iddia edilen ancak gerçekte altyapıdaki örtüşmelere ve kullanılan taktiklere bağlı olarak muhtemelen KANDYKORN RAT’ı almak için aktör kontrollü bir alan adı ile bağlantı kuran SwiftLoader aşamalandırıcının yeni varyantlarının kullanımını içermektedir.
Açıklama, AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC) olarak geliyor. karışmış Lazarus’un bir alt grubu olan Andariel, NukeSped ve TigerRAT arka kapılarını yüklemek için Apache ActiveMQ’daki (CVE-2023-46604, CVSS puanı: 10,0) bir güvenlik açığından yararlanan siber saldırılara karşı koruma sağlıyor.