Les acteurs nord-coréens de la menace derrière les souches de malwares macOS telles que RustBucket et KANDYKORN ont été observés « mélangeant et faisant correspondre » différents éléments des deux chaînes d’attaque disparates, exploitant les droppers RustBucket pour livrer KANDYKORN.
Le résultats proviennent de la société de cybersécurité SentinelOne, qui a également lié un troisième malware spécifique à macOS appelé ObjCShellz à la campagne RustBucket.
RustBucket fait référence à un cluster d’activités lié au groupe Lazarus dans lequel une version dérobée d’une application de lecture PDF, baptisée SwiftLoader, est utilisée comme canal pour charger un malware de prochaine étape écrit en Rust lors de la visualisation d’un document leurre spécialement conçu.
La campagne KANDYKORN, quant à elle, fait référence à une cyber-opération malveillante dans laquelle les ingénieurs blockchain d’une plateforme d’échange de crypto anonyme ont été ciblés via Discord pour lancer une séquence d’attaque sophistiquée en plusieurs étapes qui a conduit au déploiement de la mémoire éponyme complète. cheval de Troie d’accès à distance résident.
La troisième pièce du puzzle de l’attaque est ObjCShellz, que Jamf Threat Labs a révélé plus tôt ce mois-ci comme une charge utile de stade ultérieur qui agit comme un shell distant qui exécute les commandes shell envoyées par le serveur attaquant.
Une analyse plus approfondie de ces campagnes par SentinelOne a maintenant montré que le groupe Lazarus utilise SwiftLoader pour distribuer KANDYKORN, corroborant un rapport récent de Mandiant, propriété de Google, sur la façon dont différents groupes de pirates informatiques de Corée du Nord empruntent de plus en plus leurs tactiques et leurs outils.
« Le cyber-paysage de la RPDC a évolué vers une organisation rationalisée avec des outils et des efforts de ciblage partagés », a noté Mandiant. « Cette approche flexible des tâches rend difficile pour les défenseurs de suivre, d’attribuer et de contrecarrer les activités malveillantes, tout en permettant à cet adversaire désormais collaboratif de se déplacer furtivement avec plus de rapidité et d’adaptabilité. »
Cela inclut l’utilisation de nouvelles variantes du stager SwiftLoader qui prétend être un exécutable nommé EdoneViewer mais, en réalité, contacte un domaine contrôlé par un acteur pour récupérer probablement le KANDYKORN RAT en fonction des chevauchements d’infrastructure et des tactiques employées.
La divulgation intervient alors que l’AhnLab Security Emergency Response Center (ASEC) impliqué Andariel – un sous-groupe au sein de Lazarus – aux cyberattaques exploitant une faille de sécurité dans Apache ActiveMQ (CVE-2023-46604, score CVSS : 10,0) pour installer les portes dérobées NukeSped et TigerRAT.