Hackers "mezclan" tácticas de malware de macOS para evadir la detección

Se ha observado que los actores de amenazas norcoreanos detrás de las cepas de malware de macOS, como RustBucket y KANDYKORN, "mezclan y combinan" diferentes elementos de las dos cadenas de ataque dispares, aprovechando los cuentagotas de RustBucket para entregar KANDYKORN.

Los hallazgos provienen de la firma de ciberseguridad SentinelOne, que también vinculó un tercer malware específico de macOS llamado ObjCShellz a la campaña RustBucket.

RustBucket se refiere a un grupo de actividad vinculado al Grupo Lazarus en el que una versión de puerta trasera de una aplicación de lectura de PDF, denominada SwiftLoader, se utiliza como conducto para cargar un malware de la siguiente etapa escrito en Rust al ver un documento de señuelo especialmente diseñado.

La campaña KANDYKORN, por otro lado, se refiere a una operación cibernética maliciosa en la que los ingenieros de blockchain de una plataforma de intercambio de criptomonedas sin nombre fueron atacados a través de Discord para iniciar una sofisticada secuencia de ataque de varias etapas que condujo al despliegue del troyano de acceso remoto residente de memoria con todas las funciones del mismo nombre.

La tercera pieza del rompecabezas de ataque es ObjCShellz, que Jamf Threat Labs reveló a principios de este mes como una carga útil de etapa posterior que actúa como un shell remoto que ejecuta comandos de shell enviados desde el servidor atacante.


Un análisis más detallado de estas campañas por parte de SentinelOne ha demostrado que el Grupo Lazarus está utilizando SwiftLoader para distribuir KANDYKORN, lo que corrobora un informe reciente de Mandiant, propiedad de Google, sobre cómo diferentes grupos de hackers de Corea del Norte están tomando prestadas cada vez más las tácticas y herramientas de los demás.

"El panorama cibernético de la RPDC ha evolucionado hasta convertirse en una organización optimizada con herramientas compartidas y esfuerzos de focalización", señaló Mandiant. "Este enfoque flexible de la asignación de tareas dificulta que los defensores rastreen, atribuyan y frustren actividades maliciosas, al tiempo que permite que este adversario ahora colaborativo se mueva sigilosamente con mayor velocidad y adaptabilidad".

Esto incluye el uso de nuevas variantes del stager SwiftLoader que pretende ser un ejecutable llamado EdoneViewer pero, en realidad, se pone en contacto con un dominio controlado por un actor para recuperar la RAT KANDYKORN en función de las superposiciones en la infraestructura y las tácticas empleadas.

La revelación se produce cuando el Centro de Respuesta a Emergencias de Seguridad (ASEC) de AhnLab implicó a Andariel, un subgrupo dentro de Lazarus, a ataques cibernéticos que explotan una falla de seguridad en Apache ActiveMQ (CVE-2023-46604, puntuación CVSS: 10.0) para instalar puertas traseras NukeSped y TigerRAT.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta