Un cybercriminel nord-coréen aux motivations financières est soupçonné d’être à l’origine d’une nouvelle souche de logiciels malveillants Apple macOS appelée RustBucket.
“[RustBucket] communique avec les serveurs de commande et de contrôle (C2) pour télécharger et exécuter diverses charges utiles », Ferdous Saljooki et Jaron Bradley, chercheurs de Jamf Threat Labs a dit dans un rapport technique publié la semaine dernière.
La société de gestion d’appareils Apple l’a attribué à un acteur menaçant connu sous le nom de BlueNoroff, un sous-groupe du tristement célèbre cluster Lazarus qui est également suivi sous les noms APT28, Nickel Gladstone, Sapphire Sleet, Stardust Chollima et TA444.
Les connexions découlent de chevauchements tactiques et d’infrastructure avec une campagne antérieure exposée par la société russe de cybersécurité Kaspersky fin décembre 2022, probablement destinée aux entités financières japonaises utilisant de faux domaines se faisant passer pour des sociétés de capital-risque.
BlueNoroff, contrairement aux autres entités constitutives du groupe Lazarus, est connue pour son sophistiqué cambriolages cyber-activés ciblant le système SWIFT ainsi que les échanges de crypto-monnaie dans le cadre d’un ensemble d’intrusions suivi sous le nom de CryptoCore.
Plus tôt cette année, le Federal Bureau of Investigation (FBI) des États-Unis a impliqué l’acteur de la menace pour le vol de 100 millions de dollars d’actifs de crypto-monnaie à Harmony Horizon Bridge en juin 2022.
Le répertoire d’attaques de BlueNoroff aurait également connu un changement majeur au cours des derniers mois, le groupe utilisant des leurres sur le thème du travail pour inciter les destinataires d’e-mails à entrer leurs informations d’identification sur de fausses pages de destination.
Le malware macOS identifié par Jamf se fait passer pour une application “Internal PDF Viewer” pour activer l’infection, même s’il convient de noter que le succès de l’attaque repose sur la victime qui contourne manuellement les protections Gatekeeper.
En réalité, il s’agit d’un fichier AppleScript conçu pour récupérer une charge utile de deuxième étape à partir d’un serveur distant, qui porte également le même nom que son prédécesseur. Les deux applications malveillantes sont signées avec une signature ad hoc.
La charge utile de deuxième étape, écrite en Objective-C, est une application de base qui offre la possibilité de visualiser des fichiers PDF et ne lance la phase suivante de la chaîne d’attaque que lorsqu’un fichier PDF piégé est ouvert via l’application.
Un tel document PDF de neuf pages identifié par Jamf prétend offrir une “stratégie d’investissement” qui, une fois lancée, s’adresse au serveur de commande et de contrôle (C2) pour télécharger et exécuter un cheval de Troie de troisième niveau, un exécutable Mach-O écrit en Rust fourni avec capacités pour exécuter des commandes de reconnaissance du système.
“Cette technique de visualisation de PDF utilisée par l’attaquant est astucieuse”, ont expliqué les chercheurs. “À ce stade, pour effectuer une analyse, nous avons non seulement besoin du logiciel malveillant de deuxième étape, mais nous avons également besoin du fichier PDF correct qui fonctionne comme une clé afin d’exécuter le code malveillant dans l’application.”
On ne sait pas actuellement comment l’accès initial est obtenu et si les attaques ont réussi, mais le développement est un signe que les acteurs de la menace adaptent leurs outils pour s’adapter aux logiciels malveillants multiplateformes en utilisant des langages de programmation comme Go et Rust.
Les résultats font également suite à une période chargée d’attaques orchestrées par le groupe Lazarus visant des organisations à travers les pays et les secteurs verticaux de l’industrie pour la collecte de renseignements stratégiques et le vol de crypto-monnaie.
Lazarus Group (alias Hidden Cobra et Diamond Sleet) est moins une organisation distincte qu’un terme générique désignant un mélange de groupes de piratage parrainés par l’État et criminels qui siègent au sein du Bureau général de reconnaissance (RGB), le principal appareil de renseignement étranger de la Corée du Nord.
L’activité récente entreprise par l’acteur de la menace a offert de nouvelles preuves de l’intérêt croissant de l’acteur de la menace pour l’exploitation des relations de confiance dans la chaîne d’approvisionnement des logiciels comme points d’entrée aux réseaux d’entreprise.
La semaine dernière, le collectif contradictoire a été lié à une attaque en cascade de la chaîne d’approvisionnement qui a armé les versions d’installateurs trojanisés d’une application légitime connue sous le nom de X_TRADER pour violer le fabricant de logiciels de communication d’entreprise 3CX et empoisonner ses applications Windows et macOS.
À peu près au même moment, ESET a détaillé l’utilisation par le groupe Lazarus d’un malware Linux surnommé SimplexTea dans le contexte d’une campagne d’ingénierie sociale récurrente appelée Operation Dream Job.
Zero Trust + Deception : apprenez à déjouer les attaquants !
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
“Il est également intéressant de noter que Lazarus peut produire et utiliser des logiciels malveillants natifs pour tous les principaux systèmes d’exploitation de bureau : Windows, macOS et Linux”, a souligné la semaine dernière Marc-Etienne M.Léveillé, chercheur sur les logiciels malveillants chez ESET.
Lazarus est loin d’être le seul groupe de piratage parrainé par l’État affilié au RVB connu pour mener des opérations au nom du pays touché par les sanctions. Un autre acteur menaçant tout aussi prolifique est Kimsuky (alias APT43 ou Emerald Sleet), dont un sous-groupe est surveillé par le groupe d’analyse des menaces (TAG) de Google sous le nom d’ARCHIPELAGO.
“L’acteur cible principalement les organisations aux États-Unis et en Corée du Sud, y compris les personnes travaillant au sein du gouvernement, de l’armée, de la fabrication, de l’université et des groupes de réflexion qui possèdent une expertise en matière de défense et de sécurité, en particulier de sécurité nucléaire et de politique de non-prolifération”, Google- appartenant à Mandiant indiqué l’année dernière.
Parmi les autres cibles moins connues de Kimsuky, citons le gouvernement indien et japonais et les établissements d’enseignement, un ensemble d’attaques suivies par la société de cybersécurité taiwanaise TeamT5 sous le nom KimDragon.
Le groupe a l’habitude de déployer une série de cyber-armes pour exfiltrer des informations sensibles grâce à un large éventail de tactiques telles que le harponnage, les extensions de navigateur frauduleuses et les chevaux de Troie d’accès à distance.
Dernières trouvailles publié par VirusTotal mettent en évidence la forte dépendance de Kimsuky aux documents Microsoft Word malveillants pour livrer ses charges utiles. La majorité des fichiers ont été soumis à la plate-forme d’analyse des logiciels malveillants depuis la Corée du Sud, les États-Unis, l’Italie, Israël et le Royaume-Uni.
“Le groupe utilise une variété de techniques et d’outils pour mener des opérations d’espionnage, de sabotage et de vol, y compris le harponnage et la collecte d’informations d’identification”, a déclaré la filiale de Google Chronicle.