Se sospecha que un actor de amenazas de Corea del Norte motivado financieramente est\u00e1 detr\u00e1s de una nueva variedad de malware de Apple macOS llamada Cubo oxidado<\/strong>.<\/p>\n “[RustBucket] se comunica con los servidores de comando y control (C2) para descargar y ejecutar varias cargas \u00fatiles”, los investigadores de Jamf Threat Labs Ferdous Saljooki y Jaron Bradley dicho<\/a> en un informe t\u00e9cnico publicado la semana pasada. <\/p>\n La compa\u00f1\u00eda de administraci\u00f3n de dispositivos Apple lo atribuy\u00f3 a un actor de amenazas conocido como BlueNoroff, un subgrupo dentro del infame grupo Lazarus que tambi\u00e9n se rastrea bajo los nombres APT28, Nickel Gladstone, Sapphire Sleet, Stardust Chollima y TA444.<\/p>\n Las conexiones se derivan de superposiciones t\u00e1cticas y de infraestructura con una campa\u00f1a anterior expuesta por la empresa rusa de ciberseguridad Kaspersky a fines de diciembre de 2022, probablemente dirigida a entidades financieras japonesas que utilizan dominios falsos que se hacen pasar por empresas de capital de riesgo.<\/p>\n BlueNoroff, a diferencia de otras entidades constituyentes del Grupo Lazarus, es conocida por su sofisticado<\/a> atracos cibern\u00e9ticos<\/a> apuntando al sistema SWIFT, as\u00ed como a los intercambios de criptomonedas como parte de un conjunto de intrusiones rastreado como CryptoCore.<\/p>\n A principios de este a\u00f1o, la Oficina Federal de Investigaciones (FBI) de EE. UU. implic\u00f3 al actor de amenazas por el robo de USD 100 millones en activos de criptomonedas del puente Harmony Horizon en junio de 2022.<\/p>\n Tambi\u00e9n se dice que el repertorio de ataques de BlueNoroff ha sido testigo de un cambio importante en los \u00faltimos meses, ya que el grupo utiliz\u00f3 se\u00f1uelos con temas laborales para enga\u00f1ar a los destinatarios de correo electr\u00f3nico para que ingresen sus credenciales en p\u00e1ginas de destino falsas.<\/p>\n El malware macOS identificado por Jamf se hace pasar por una aplicaci\u00f3n de “Visor PDF interno” para activar la infecci\u00f3n, aunque vale la pena se\u00f1alar que el \u00e9xito del ataque apunta a que la v\u00edctima anula manualmente las protecciones de Gatekeeper.<\/p>\n En realidad, es un archivo AppleScript dise\u00f1ado para recuperar una carga \u00fatil de segunda etapa desde un servidor remoto, que tambi\u00e9n lleva el mismo nombre que su predecesor. Ambas aplicaciones maliciosas est\u00e1n firmadas con una firma ad-hoc.<\/p>\n La carga \u00fatil de la segunda etapa, escrita en Objective-C, es una aplicaci\u00f3n b\u00e1sica que ofrece la capacidad de ver archivos PDF y solo inicia la siguiente fase de la cadena de ataque cuando se abre un archivo PDF con una trampa explosiva a trav\u00e9s de la aplicaci\u00f3n.<\/p>\n Uno de tales documento PDF de nueve p\u00e1ginas<\/a> identificado por Jamf pretende ofrecer una “estrategia de inversi\u00f3n” que, cuando se inicia, llega al servidor de comando y control (C2) para descargar y ejecutar un troyano de tercera etapa, un ejecutable Mach-O escrito en Rust que viene con capacidades para ejecutar comandos de reconocimiento del sistema.<\/p>\n “Esta t\u00e9cnica de visor de PDF utilizada por el atacante es inteligente”, explicaron los investigadores. “En este punto, para realizar el an\u00e1lisis, no solo necesitamos el malware de etapa dos, sino que tambi\u00e9n requerimos el archivo PDF correcto que funciona como clave para ejecutar el c\u00f3digo malicioso dentro de la aplicaci\u00f3n”.<\/p>\n Actualmente no est\u00e1 claro c\u00f3mo se obtiene el acceso inicial y si los ataques tuvieron \u00e9xito, pero el desarrollo es una se\u00f1al de que los actores de amenazas est\u00e1n adaptando sus conjuntos de herramientas para adaptarse al malware multiplataforma mediante el uso de lenguajes de programaci\u00f3n como Go y Rust.<\/p>\n Los hallazgos tambi\u00e9n provienen de un per\u00edodo ocupado de ataques orquestados por Lazarus Group dirigidos a organizaciones de todos los pa\u00edses y verticales de la industria para recopilar inteligencia estrat\u00e9gica y realizar robos de criptomonedas.<\/p>\n Lazarus Group (tambi\u00e9n conocido como Hidden Cobra y Diamond Sleet) es menos un equipo distintivo y m\u00e1s un t\u00e9rmino general para una mezcla de grupos de hackers criminales y patrocinados por el estado que se encuentran dentro de la Oficina General de Reconocimiento (RGB), el principal aparato de inteligencia exterior de Corea del Norte.<\/p>\n La actividad reciente realizada por el actor de amenazas ha ofrecido nueva evidencia del creciente inter\u00e9s del actor de amenazas en explotar las relaciones de confianza en la cadena de suministro de software como puntos de entrada a las redes corporativas.<\/p>\n La semana pasada, el colectivo adversario se vincul\u00f3 a un ataque en cascada a la cadena de suministro que convirti\u00f3 en armas a los instaladores troyanizados de una aplicaci\u00f3n leg\u00edtima conocida como X_TRADER para violar al fabricante de software de comunicaciones empresariales 3CX y envenenar sus aplicaciones de Windows y macOS.<\/p>\n Casi al mismo tiempo, ESET detall\u00f3 el uso por parte de Lazarus Group de un malware de Linux denominado SimplexTea en el contexto de una campa\u00f1a recurrente de ingenier\u00eda social conocida como Operation Dream Job.<\/p>\n Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n Guardar mi asiento!<\/a><\/div>\n “Tambi\u00e9n es interesante notar que Lazarus puede producir y usar malware nativo para todos los principales sistemas operativos de escritorio: Windows, macOS y Linux”, se\u00f1al\u00f3 la semana pasada Marc-Etienne M.L\u00e9veill\u00e9, investigador de malware de ESET.<\/p>\n Lazarus est\u00e1 lejos de ser el \u00fanico grupo de pirater\u00eda patrocinado por el estado afiliado a RGB conocido por realizar operaciones en nombre del pa\u00eds afectado por las sanciones. Otro actor de amenazas igualmente prol\u00edfico es kimsuky<\/a> (tambi\u00e9n conocido como APT43 o Emerald Sleet), un subgrupo del cual es monitoreado por el Grupo de An\u00e1lisis de Amenazas (TAG) de Google como ARCHIPI\u00c9LAGO.<\/p>\n “El actor se dirige principalmente a organizaciones en los EE. UU. y Corea del Sur, incluidas las personas que trabajan en organizaciones gubernamentales, militares, manufactureras, acad\u00e9micas y de expertos que poseen experiencia en la materia en defensa y seguridad, en particular, seguridad nuclear y pol\u00edtica de no proliferaci\u00f3n”, Google- propiedad de Mandiant anotado<\/a> el a\u00f1o pasado.<\/p>\n Otros objetivos menos conocidos de Kimsuky incluyen indios y japoneses como instituciones gubernamentales y educativas, un conjunto de ataques rastreados por la empresa de ciberseguridad taiwanesa TeamT5 bajo el nombre kimdragon<\/a>.<\/p>\n El grupo tiene un historial de despliegue de una gran cantidad de armas cibern\u00e9ticas para filtrar informaci\u00f3n confidencial a trav\u00e9s de una amplia gama de t\u00e1cticas, como phishing selectivo, extensiones de navegador fraudulentas y troyanos de acceso remoto.<\/p>\n