Underc0de

Se sospecha que un actor de amenazas norcoreano motivado financieramente está detrás de una nueva cepa de malware Apple macOS llamada RustBucket.

"[RustBucket] se comunica con los servidores de comando y control (C2) para descargar y ejecutar varias cargas útiles", dijeron los investigadores de Jamf Threat Labs Ferdous Saljooki y Jaron Bradley en un informe técnico publicado la semana pasada.

La compañía de administración de dispositivos Apple lo atribuyó a un actor de amenazas conocido como BlueNoroff, un subgrupo dentro del infame grupo Lazarus que también se rastrea bajo los apodos APT28, Nickel Gladstone, Sapphire Sleet, Stardust Chollima y TA444.

Las conexiones provienen de superposiciones tácticas y de infraestructura con una campaña anterior expuesta por la compañía rusa de ciberseguridad Kaspersky a fines de diciembre de 2022 probablemente dirigida a entidades financieras japonesas que utilizan dominios falsos que se hacen pasar por empresas de capital de riesgo.

BlueNoroff, a diferencia de otras entidades constituyentes del Grupo Lazarus, es conocido por sus sofisticados robos cibernéticos dirigidos al sistema SWIFT, así como a los intercambios de criptomonedas como parte de un conjunto de intrusiones rastreado como CryptoCore.

A principios de este año, la Oficina Federal de Investigaciones (FBI) de los Estados Unidos implicó al actor de amenazas por el robo de $ 100 millones en activos de criptomonedas de Harmony Horizon Bridge en junio de 2022.

También se dice que el repertorio de ataque de BlueNoroff ha sido testigo de un cambio importante en los últimos meses, con el grupo haciendo uso de señuelos con temas de trabajo para engañar a los destinatarios de correo electrónico para que ingresen sus credenciales en páginas de destino falsas.

El malware macOS identificado por Jamf se hace pasar por una aplicación "Visor interno de PDF" para activar la infección, aunque vale la pena señalar que el éxito del ataque se basa en que la víctima anule manualmente las protecciones de Gatekeeper.

En realidad, es un archivo AppleScript que está diseñado para recuperar una carga útil de segunda etapa de un servidor remoto, que también lleva el mismo nombre que su predecesor. Ambas aplicaciones maliciosas están firmadas con una firma ad-hoc.

La carga útil de la segunda etapa, escrita en Objective-C, es una aplicación básica que ofrece la capacidad de ver archivos PDF y solo inicia la siguiente fase de la cadena de ataque cuando se abre un archivo PDF con trampas explosivas a través de la aplicación.

Uno de esos documentos PDF de nueve páginas identificado por Jamf pretende ofrecer una "estrategia de inversión" que, cuando se lanza, llega al servidor de comando y control (C2) para descargar y ejecutar un troyano de tercera etapa, un ejecutable de Mach-O escrito en Rust que viene con capacidades para ejecutar comandos de reconocimiento del sistema.

"Esta técnica de visor de PDF utilizada por el atacante es inteligente", explicaron los investigadores. "En este punto, para realizar el análisis, no solo necesitamos el malware de la etapa dos, sino que también requerimos el archivo PDF correcto que funcione como clave para ejecutar el código malicioso dentro de la aplicación".

Actualmente no está claro cómo se obtiene el acceso inicial y si los ataques fueron exitosos, pero el desarrollo es una señal de que los actores de amenazas están adaptando sus conjuntos de herramientas para acomodar malware multiplataforma mediante el uso de lenguajes de programación como Go y Rust.

Los hallazgos también provienen de un período ocupado de ataques orquestados por el Grupo Lazarus dirigidos a organizaciones de todos los países y verticales de la industria para recopilar inteligencia estratégica y realizar robos de criptomonedas.

Lazarus Group (también conocido como Hidden Cobra y Diamond Sleet) es menos un equipo distinto y más un término general para una mezcla de grupos de piratería patrocinados por el estado y criminales que se sientan dentro de la Oficina General de Reconocimiento (RGB), el principal aparato de inteligencia extranjera de Corea del Norte.

La actividad reciente emprendida por el actor de amenazas ha ofrecido nuevas pruebas del creciente interés del actor de amenazas en explotar las relaciones de confianza en la cadena de suministro de software como puntos de entrada a las redes corporativas.

La semana pasada, el colectivo adversarial fue vinculado a un ataque en cascada a la cadena de suministro que armó a los instaladores troyanos versiones de una aplicación legítima conocida como X_TRADER para violar el fabricante de software de comunicaciones empresariales 3CX y envenenar sus aplicaciones de Windows y macOS.

Casi al mismo tiempo, ESET detalló el uso de Lazarus Group de un malware de Linux denominado SimplexTea en el contexto de una campaña recurrente de ingeniería social conocida como Operation Dream Job.

"También es interesante observar que Lazarus puede producir y usar malware nativo para todos los principales sistemas operativos de escritorio: Windows, macOS y Linux", señaló el investigador de malware de ESET Marc-Etienne M. Léveillé la semana pasada.

Lazarus está lejos de ser el único grupo de piratería patrocinado por el estado afiliado a RGB conocido por realizar operaciones en nombre del país afectado por las sanciones. Otro actor de amenazas igualmente prolífico es Kimsuky (también conocido como APT43 o Emerald Sleet), un subgrupo del cual es monitoreado por el Grupo de Análisis de Amenazas (TAG) de Google como ARCHIPELAGO.

"El actor se dirige principalmente a organizaciones en los Estados Unidos y Corea del Sur, incluidas las personas que trabajan dentro del gobierno, el ejército, la fabricación, el mundo académico y las organizaciones de grupos de expertos que poseen experiencia en la materia de defensa y seguridad, particularmente seguridad nuclear y política de no proliferación", señaló Mandiant, propiedad de Google, el año pasado.

Otros objetivos menos conocidos de Kimsuky incluyen el gobierno indio y japonés y las instituciones educativas, un conjunto de ataques rastreados por la compañía de ciberseguridad taiwanesa TeamT5 bajo el nombre de KimDragon.

El grupo tiene un historial de despliegue de una serie de armas cibernéticas para filtrar información confidencial a través de una amplia gama de tácticas, como spear-phishing, extensiones de navegador fraudulentas y troyanos de acceso remoto.

Los últimos hallazgos publicados por VirusTotal destacan la gran dependencia de Kimsuky de documentos maliciosos de Microsoft Word para entregar sus cargas útiles. La mayoría de los archivos se han enviado a la plataforma de escaneo de malware desde Corea del Sur, Estados Unidos, Italia, Israel, y el Reino Unido.

"El grupo utiliza una variedad de técnicas y herramientas para llevar a cabo operaciones de espionaje, sabotaje y robo, incluido el spear-phishing y la recolección de credenciales", dijo la subsidiaria de Google Chronicle.

Fuente: https://thehackernews.com