K. Koreli Bilgisayar Korsanları, Tespit Edilmekten Kaçınmak için macOS Kötü Amaçlı Yazılım Taktiklerini 'Karıştırıyor'

RustBucket ve KANDYKORN gibi macOS kötü amaçlı yazılım türlerinin arkasındaki Kuzey Koreli tehdit aktörlerinin, KANDYKORN'u sunmak için RustBucket damlalıklarından yararlanarak iki farklı saldırı zincirinin farklı öğelerini "karıştırıp eşleştirdiği" gözlemlendi.

Bulgular, ObjCShellz adlı macOS'a özgü üçüncü bir kötü amaçlı yazılımı da RustBucket kampanyasına bağlayan siber güvenlik firması SentinelOne'dan geliyor.

RustBucket, SwiftLoader adlı bir PDF okuyucu uygulamasının arka kapılı bir sürümünün, özel hazırlanmış bir cazibe belgesini görüntüledikten sonra Rust'ta yazılmış bir sonraki aşama kötü amaçlı yazılımını yüklemek için bir kanal olarak kullanıldığı Lazarus Group'a bağlı bir etkinlik kümesini ifade eder.

Öte yandan KANDYKORN kampanyası, isimsiz bir kripto değişim platformunun blok zinciri mühendislerinin, aynı adı taşıyan tam özellikli bellekte yerleşik uzaktan erişim truva atının konuşlandırılmasına yol açan karmaşık bir çok aşamalı saldırı dizisi başlatmak için Discord aracılığıyla hedef alındığı kötü niyetli bir siber operasyonu ifade eder.

Saldırı bulmacasının üçüncü parçası, Jamf Threat Labs'ın bu ayın başlarında, saldırgan sunucusundan gönderilen kabuk komutlarını yürüten uzak bir kabuk görevi gören sonraki aşama yükü olarak ortaya çıkardığı ObjCShellz'dir.

SentinelOne tarafından yapılan bu tehlikelerin daha fazla analizi, Lazarus Group'un KANDYKORN'u dağıtmak için SwiftLoader'ı kullandığını gösterdi ve Google'ın sahip olduğu Mandiant'ın Kuzey Kore'den farklı hacker gruplarının birbirlerinin taktiklerini ve araçlarını nasıl giderek daha fazla ödünç aldığına dair yakın tarihli bir raporunu doğruladı.

Mandiant, "DPRK'nın siber manzarası, ortak araçlar ve hedefleme çabalarıyla modern bir organizasyona dönüştü" dedi. "Göreve yönelik bu esnek yaklaşım, savunucuların kötü niyetli faaliyetleri izlemesini, ilişkilendirmesini ve engellemesini zorlaştırırken, artık işbirlikçi olan bu düşmanın daha hızlı ve uyarlanabilir bir şekilde gizlice hareket etmesini sağlıyor."

Bu, EdoneViewer adlı bir yürütülebilir dosya olduğunu iddia eden SwiftLoader stager'ın yeni varyantlarının kullanımını içerir, ancak gerçekte, altyapıdaki örtüşmelere ve kullanılan taktiklere dayalı olarak KANDYKORN RAT'ı almak için aktör tarafından kontrol edilen bir etki alanıyla iletişim kurar.

Açıklama, AhnLab Güvenlik Acil Durum Müdahale Merkezi'nin (ASEC), Lazarus içindeki bir alt grup olan Andariel'i, NukeSped ve TigerRAT arka kapılarını yüklemek için Apache ActiveMQ'daki (CVE-2023-46604, CVSS puanı: 10.0) bir güvenlik açığından yararlanan siber saldırılara dahil etmesiyle geldi.