Se ha observado que los actores de amenazas norcoreanos detrás de las cepas de malware para macOS, como RustBucket y KANDYKORN, «mezclan y combinan» diferentes elementos de las dos cadenas de ataque dispares, aprovechando los cuentagotas de RustBucket para entregar KANDYKORN.
El recomendaciones provienen de la empresa de ciberseguridad SentinelOne, que también vinculó un tercer malware específico de macOS llamado ObjCShellz a la campaña RustBucket.
RustBucket se refiere a un grupo de actividades vinculado al Grupo Lazarus en el que se utiliza una versión con puerta trasera de una aplicación de lectura de PDF, denominada SwiftLoader, como conducto para cargar un malware de siguiente etapa escrito en Rust al ver un documento señuelo especialmente diseñado.
La campaña KANDYKORN, por otro lado, se refiere a una operación cibernética maliciosa en la que los ingenieros de blockchain de una plataforma de intercambio de cifrado anónima fueron atacados a través de Discord para iniciar una sofisticada secuencia de ataque de múltiples etapas que condujo al despliegue de la memoria con todas las funciones del mismo nombre. Troyano residente de acceso remoto.
La tercera pieza del rompecabezas del ataque es ObjCShellz, que Jamf Threat Labs reveló a principios de este mes como una carga útil de etapa posterior que actúa como un shell remoto que ejecuta comandos de shell enviados desde el servidor atacante.
Un análisis más detallado de estas campañas realizado por SentinelOne ahora ha demostrado que Lazarus Group está utilizando SwiftLoader para distribuir KANDYKORN, lo que corrobora un informe reciente de Mandiant, propiedad de Google, sobre cómo diferentes grupos de hackers de Corea del Norte están tomando prestadas cada vez más las tácticas y herramientas de otros.
«El panorama cibernético de la RPDC ha evolucionado hasta convertirse en una organización simplificada con herramientas y esfuerzos de selección compartidos», señaló Mandiant. «Este enfoque flexible para la asignación de tareas dificulta que los defensores rastreen, atribuyan y frustren actividades maliciosas, al tiempo que permite que este adversario ahora colaborativo se mueva sigilosamente con mayor velocidad y adaptabilidad».
Esto incluye el uso de nuevas variantes del stager SwiftLoader que pretende ser un ejecutable llamado EdoneViewer pero, en realidad, contacta un dominio controlado por un actor para probablemente recuperar la RAT KANDYKORN basándose en superposiciones en la infraestructura y las tácticas empleadas.
La divulgación se produce cuando el Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC) implicado Andariel, un subgrupo dentro de Lazarus, a ciberataques aprovechando una falla de seguridad en Apache ActiveMQ (CVE-2023-46604, puntuación CVSS: 10.0) para instalar puertas traseras NukeSped y TigerRAT.