Se sospecha que un actor de amenazas de Corea del Norte motivado financieramente está detrás de una nueva variedad de malware de Apple macOS llamada Cubo oxidado.
“[RustBucket] se comunica con los servidores de comando y control (C2) para descargar y ejecutar varias cargas útiles”, los investigadores de Jamf Threat Labs Ferdous Saljooki y Jaron Bradley dicho en un informe técnico publicado la semana pasada.
La compañía de administración de dispositivos Apple lo atribuyó a un actor de amenazas conocido como BlueNoroff, un subgrupo dentro del infame grupo Lazarus que también se rastrea bajo los nombres APT28, Nickel Gladstone, Sapphire Sleet, Stardust Chollima y TA444.
Las conexiones se derivan de superposiciones tácticas y de infraestructura con una campaña anterior expuesta por la empresa rusa de ciberseguridad Kaspersky a fines de diciembre de 2022, probablemente dirigida a entidades financieras japonesas que utilizan dominios falsos que se hacen pasar por empresas de capital de riesgo.
BlueNoroff, a diferencia de otras entidades constituyentes del Grupo Lazarus, es conocida por su sofisticado atracos cibernéticos apuntando al sistema SWIFT, así como a los intercambios de criptomonedas como parte de un conjunto de intrusiones rastreado como CryptoCore.
A principios de este año, la Oficina Federal de Investigaciones (FBI) de EE. UU. implicó al actor de amenazas por el robo de USD 100 millones en activos de criptomonedas del puente Harmony Horizon en junio de 2022.
También se dice que el repertorio de ataques de BlueNoroff ha sido testigo de un cambio importante en los últimos meses, ya que el grupo utilizó señuelos con temas laborales para engañar a los destinatarios de correo electrónico para que ingresen sus credenciales en páginas de destino falsas.
El malware macOS identificado por Jamf se hace pasar por una aplicación de “Visor PDF interno” para activar la infección, aunque vale la pena señalar que el éxito del ataque apunta a que la víctima anula manualmente las protecciones de Gatekeeper.
En realidad, es un archivo AppleScript diseñado para recuperar una carga útil de segunda etapa desde un servidor remoto, que también lleva el mismo nombre que su predecesor. Ambas aplicaciones maliciosas están firmadas con una firma ad-hoc.
La carga útil de la segunda etapa, escrita en Objective-C, es una aplicación básica que ofrece la capacidad de ver archivos PDF y solo inicia la siguiente fase de la cadena de ataque cuando se abre un archivo PDF con una trampa explosiva a través de la aplicación.
Uno de tales documento PDF de nueve páginas identificado por Jamf pretende ofrecer una “estrategia de inversión” que, cuando se inicia, llega al servidor de comando y control (C2) para descargar y ejecutar un troyano de tercera etapa, un ejecutable Mach-O escrito en Rust que viene con capacidades para ejecutar comandos de reconocimiento del sistema.
“Esta técnica de visor de PDF utilizada por el atacante es inteligente”, explicaron los investigadores. “En este punto, para realizar el análisis, no solo necesitamos el malware de etapa dos, sino que también requerimos el archivo PDF correcto que funciona como clave para ejecutar el código malicioso dentro de la aplicación”.
Actualmente no está claro cómo se obtiene el acceso inicial y si los ataques tuvieron éxito, pero el desarrollo es una señal de que los actores de amenazas están adaptando sus conjuntos de herramientas para adaptarse al malware multiplataforma mediante el uso de lenguajes de programación como Go y Rust.
Los hallazgos también provienen de un período ocupado de ataques orquestados por Lazarus Group dirigidos a organizaciones de todos los países y verticales de la industria para recopilar inteligencia estratégica y realizar robos de criptomonedas.
Lazarus Group (también conocido como Hidden Cobra y Diamond Sleet) es menos un equipo distintivo y más un término general para una mezcla de grupos de hackers criminales y patrocinados por el estado que se encuentran dentro de la Oficina General de Reconocimiento (RGB), el principal aparato de inteligencia exterior de Corea del Norte.
La actividad reciente realizada por el actor de amenazas ha ofrecido nueva evidencia del creciente interés del actor de amenazas en explotar las relaciones de confianza en la cadena de suministro de software como puntos de entrada a las redes corporativas.
La semana pasada, el colectivo adversario se vinculó a un ataque en cascada a la cadena de suministro que convirtió en armas a los instaladores troyanizados de una aplicación legítima conocida como X_TRADER para violar al fabricante de software de comunicaciones empresariales 3CX y envenenar sus aplicaciones de Windows y macOS.
Casi al mismo tiempo, ESET detalló el uso por parte de Lazarus Group de un malware de Linux denominado SimplexTea en el contexto de una campaña recurrente de ingeniería social conocida como Operation Dream Job.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
“También es interesante notar que Lazarus puede producir y usar malware nativo para todos los principales sistemas operativos de escritorio: Windows, macOS y Linux”, señaló la semana pasada Marc-Etienne M.Léveillé, investigador de malware de ESET.
Lazarus está lejos de ser el único grupo de piratería patrocinado por el estado afiliado a RGB conocido por realizar operaciones en nombre del país afectado por las sanciones. Otro actor de amenazas igualmente prolífico es kimsuky (también conocido como APT43 o Emerald Sleet), un subgrupo del cual es monitoreado por el Grupo de Análisis de Amenazas (TAG) de Google como ARCHIPIÉLAGO.
“El actor se dirige principalmente a organizaciones en los EE. UU. y Corea del Sur, incluidas las personas que trabajan en organizaciones gubernamentales, militares, manufactureras, académicas y de expertos que poseen experiencia en la materia en defensa y seguridad, en particular, seguridad nuclear y política de no proliferación”, Google- propiedad de Mandiant anotado el año pasado.
Otros objetivos menos conocidos de Kimsuky incluyen indios y japoneses como instituciones gubernamentales y educativas, un conjunto de ataques rastreados por la empresa de ciberseguridad taiwanesa TeamT5 bajo el nombre kimdragon.
El grupo tiene un historial de despliegue de una gran cantidad de armas cibernéticas para filtrar información confidencial a través de una amplia gama de tácticas, como phishing selectivo, extensiones de navegador fraudulentas y troyanos de acceso remoto.
Últimos hallazgos publicado por VirusTotal resalte la fuerte dependencia de Kimsuky en documentos maliciosos de Microsoft Word para entregar sus cargas útiles. La mayoría de los archivos se enviaron a la plataforma de escaneo de malware desde Corea del Sur, EE. UU., Italia, Israel y el Reino Unido.
“El grupo utiliza una variedad de técnicas y herramientas para realizar operaciones de espionaje, sabotaje y robo, incluido el phishing selectivo y la recolección de credenciales”, dijo la subsidiaria de Google Chronicle.
About the Author
