Brother
Professional
- Messages
- 2,590
- Reaction score
- 483
- Points
- 83
Было замечено, что северокорейские злоумышленники, стоящие за вредоносными программами для macOS, такими как RustBucket и KANDYKORN, "смешивают и сопоставляют" различные элементы двух разрозненных цепочек атак, используя капельницы RustBucket для доставки KANDYKORN.
Выводы получены фирмой по кибербезопасности SentinelOne, которая также связала третье вредоносное ПО для macOS под названием ObjCShellz с кампанией RustBucket.
RustBucket относится к кластеру действий, связанному с Lazarus Group, в котором бэкдорированная версия приложения для чтения PDF, получившая название SwiftLoader, используется в качестве канала для загрузки вредоносного ПО следующего этапа, написанного на Rust, при просмотре специально созданного документа lure.
Кампания KANDYKORN, с другой стороны, относится к вредоносной кибероперации, в ходе которой блокчейн-инженеры неназванной платформы криптообмена были нацелены через Discord для инициирования сложной многоступенчатой последовательности атак, которая привела к развертыванию одноименного полнофункционального троянца удаленного доступа к резидентной памяти.
Третья часть головоломки атаки - ObjCShellz, которую Jamf Threat Labs раскрыла ранее в этом месяце как полезную нагрузку более поздней стадии, действующую как удаленная оболочка, выполняющая команды оболочки, отправленные с сервера злоумышленника.
Дальнейший анализ этих кампаний SentinelOne показал, что группа Lazarus использует SwiftLoader для распространения KANDYKORN, что подтверждает недавний отчет Mandiant, принадлежащей Google, о том, как различные хакерские группы из Северной Кореи все чаще заимствуют тактику и инструменты друг друга.
"Киберпространство КНДР превратилось в упорядоченную организацию с общими инструментами и целенаправленными усилиями", - отметил Мандиант. "Такой гибкий подход к распределению задач затрудняет для защитников отслеживание, атрибуцию и пресечение вредоносных действий, в то же время позволяя этому теперь сотрудничающему противнику действовать скрытно с большей скоростью и адаптивностью".
Это включает в себя использование новых вариантов stager SwiftLoader, который выдает себя за исполняемый файл с именем EdoneViewer, но на самом деле связывается с доменом, контролируемым участником, чтобы, вероятно, получить KANDYKORN RAT, основываясь на совпадениях в инфраструктуре и используемой тактике.
Раскрытие происходит после того, как Центр реагирования на чрезвычайные ситуации AhnLab Security (ASEC) причастил Andariel – подгруппу внутри Lazarus – к кибератакам, использующим уязвимость в системе безопасности Apache ActiveMQ (CVE-2023-46604, оценка CVSS: 10.0) для установки бэкдоров NukeSped и TigerRAT.
Выводы получены фирмой по кибербезопасности SentinelOne, которая также связала третье вредоносное ПО для macOS под названием ObjCShellz с кампанией RustBucket.
RustBucket относится к кластеру действий, связанному с Lazarus Group, в котором бэкдорированная версия приложения для чтения PDF, получившая название SwiftLoader, используется в качестве канала для загрузки вредоносного ПО следующего этапа, написанного на Rust, при просмотре специально созданного документа lure.
Кампания KANDYKORN, с другой стороны, относится к вредоносной кибероперации, в ходе которой блокчейн-инженеры неназванной платформы криптообмена были нацелены через Discord для инициирования сложной многоступенчатой последовательности атак, которая привела к развертыванию одноименного полнофункционального троянца удаленного доступа к резидентной памяти.
Третья часть головоломки атаки - ObjCShellz, которую Jamf Threat Labs раскрыла ранее в этом месяце как полезную нагрузку более поздней стадии, действующую как удаленная оболочка, выполняющая команды оболочки, отправленные с сервера злоумышленника.
Дальнейший анализ этих кампаний SentinelOne показал, что группа Lazarus использует SwiftLoader для распространения KANDYKORN, что подтверждает недавний отчет Mandiant, принадлежащей Google, о том, как различные хакерские группы из Северной Кореи все чаще заимствуют тактику и инструменты друг друга.
"Киберпространство КНДР превратилось в упорядоченную организацию с общими инструментами и целенаправленными усилиями", - отметил Мандиант. "Такой гибкий подход к распределению задач затрудняет для защитников отслеживание, атрибуцию и пресечение вредоносных действий, в то же время позволяя этому теперь сотрудничающему противнику действовать скрытно с большей скоростью и адаптивностью".
Это включает в себя использование новых вариантов stager SwiftLoader, который выдает себя за исполняемый файл с именем EdoneViewer, но на самом деле связывается с доменом, контролируемым участником, чтобы, вероятно, получить KANDYKORN RAT, основываясь на совпадениях в инфраструктуре и используемой тактике.
Раскрытие происходит после того, как Центр реагирования на чрезвычайные ситуации AhnLab Security (ASEC) причастил Andariel – подгруппу внутри Lazarus – к кибератакам, использующим уязвимость в системе безопасности Apache ActiveMQ (CVE-2023-46604, оценка CVSS: 10.0) для установки бэкдоров NukeSped и TigerRAT.
