Kuzey Koreli gelişmiş kalıcı tehdit (APT) grupları, Kim Jong Un rejiminin emriyle operasyonlar yürütme çabalarını sürdürürken, tespit edilmekten kaçınmak ve radarın altından geçmek için yakın zamanda ortaya çıkan iki Mac hedefli kötü amaçlı yazılım türünün bileşenlerini karıştırıp eşleştiriyor.
Lazarus ve onun yan ürünlerinden biri olan BlueNoroff yakın zamanda çıkış yaptı KandyKorn Ve PasKovasısırasıyla, Kuzey Koreli tehdit gruplarının macOS makinelerini hedef alan saldırılarını temsil eden iki tür kötü amaçlı yazılım. Kötü amaçlı yazılım, Kim’in hükümeti için para toplamak amacıyla kripto para borsalarına ve diğer finansal kurumlara saldırmak için kullanılıyor.
Şimdi gruplar alıyor daha fazla kaçamak adım SentinelOne araştırmacıları, güvenlik araştırmacılarını ve kurbanları izlerinden uzaklaştırmayı amaçlayan çeşitli saldırılarda bu kötü amaçlı yazılımların yükleyicilerini ve diğer bileşenlerini karıştırarak kullandıklarını ortaya çıkardı. bir blog yazısında 28 Kasım’da yayınlandı.
Son zamanlarda gösterilen Kuzey Kore APT’lerinde tipik olduğu gibi bir organizasyon ve uyum ortak hedeflere ulaşmak için kaynakların ve taktiklerin bir araya getirilmesi – yeni etkinliğin ayrıntıları, bazıları tamamen yeni kampanyaların parçası gibi görünen, aşamalandırıcıların, yükleyicilerin ve yüklerin baş döndürücü bir karışımıdır.
Ancak araştırmacılar perdeleri açtıklarında, kullanılan nihai yüklerin yakın zamanda ortaya çıkarılanlar (bazen yeni değişkenler halinde) olduğunu keşfettiler. Yalnızca saldırı kurulumları ve ilgili bileşenlerin farklılık gösterdiğini, tehdit operasyonlarının hem saldırı altındaki kuruluşların hem de grupları takip edenlerin kafasını nasıl karıştırmayı amaçladığını ortaya çıkardıklarını söylediler.
SentinelOne tehdit araştırmacısı Phil Stokes, gönderisinde şunları yazdı: “Analizimiz, diğer araştırmacıların, Kuzey Kore bağlantılı tehdit aktörlerinin ortak altyapıyı yeniden kullanma eğiliminin, onların faaliyetlerine ilişkin anlayışımızı genişletme ve yeni uzlaşma göstergelerini keşfetme fırsatı sunduğu yönündeki bulgularını doğruluyor.”
Kötü Amaçlı Yazılım Yakın Dövüşü: APT’ler Her Şeyi Karıştırıyor
Geçtiğimiz ay tehdit araştırmacıları, Kuzey Koreli APT’ler tarafından, grupların tipik girişimlerinde macOS’u hedeflemek için kullanılan iki yeni kötü amaçlı yazılım türünü ortaya çıkardı. kripto çalmak ve Kim’in rejimini finanse etmek için başka fonlar.
KandyKorn uzaktan erişim Truva Atı (RAT) ortaya çıktı Elastic Security Labs tarafından hazırlanan bir rapordakripto para birimi hizmetleri ve uygulamaları da dahil olmak üzere kurbanın bilgisayarındaki her türlü veriyi tespit etmek, erişmek ve çalmak için tam özellikli yeteneklere sahip olan bu ikisinden daha karmaşık olanıydı.
Bu arada RustBucket, yeni hedefleri tehlikeye atmak için “ObjCShellz” adı verilen ilkel bir ters kabuk kullandı ve “basitleştirilmiş” ancak etkili olarak nitelendirildi. Jamf Tehdit Laboratuvarları tarafından. Ayrıca, hedeflere gönderilen bir yem belgesi için harici olarak PDF Görüntüleyici olarak işlev gören “SwiftLoader” adlı ikinci aşamalı bir veri yükünü de kullandı.
SentinelOne, bu kötü amaçlı yazılımları içeren en son kampanyaların, önceki saldırı akışına göre bir karıştır ve eşleştir yaklaşımı sergilediğini keşfetti.
İlk başta “tamamen farklı bir kampanya” gibi görünen bir RustBucket saldırısında, saldırganlar ilk aşama bir AppleScript uygulamasını ve indirme kodunun kilidini açmak için özel hazırlanmış PDF’leri kullanan “Dahili PDF Viewer.app” adlı Swift tabanlı bir uygulama paketini kullandılar. SentinelOne blog gönderisine göre Rust tabanlı bir yük. Bu, önceki kampanyalarda kötü amaçlı yazılımı dağıtmak için kullanılan orijinal saldırı akışından farklıydı.
Yükleyici Kötü Amaçlı Yazılım Türleri Arasında Dönüyor
SentinelOne ayrıca çeşitli RustBucket varyantlarının yanı sıra toplu olarak SwiftLoader olarak adlandırılan Swift tabanlı sahneleyicisinin yeni varyasyonlarını da gözlemledi. Bunların bir kısmı daha önceki kampanyalarda olduğu gibi “InternalPDF Viewer” adıyla dağıtılmaya devam ederken, araştırmacılar “SecurePDF Viewer” adlı bir varyantı da tespit etti.
Stokes, “Bu başvuru Apple tarafından (iptal edildiğinden beri) ‘BBQ BAZAAR PRIVATE LIMITED (7L2UQTVP6F)’ adlı bir geliştirici tarafından imzalandı ve noter tasdiki yapıldı” diye yazdı. Varyant en az macOS 12.6 (Monterey) gerektirir ve hem Intel hem de Apple silikon cihazlarda çalışabilir.
Bu arada Jamf araştırmacılarının önceki RustBucket kampanyalarında ObjCShellz olarak tanımladığı şey, SentinelOne araştırmacılarının artık Kuzey Koreli saldırganların KandyKorn’u dağıtmak için kullanıyor olabileceği “SwiftLoader SecurePDF Viewer.app’in daha sonraki bir aşaması” olduğunu düşünüyor.
SentinelOne ayrıca SwiftLoader’ın “Kripto varlıklar ve bunların finansal istikrara yönelik riskleri” adı verilen bir yemle dağıtılanlar da dahil olmak üzere diğer sürümlerini de tespit etti.[.]uygulama[.]KandyKorn operasyonuyla “bazı ilginç örtüşmelere” sahip olan “.zip”.
Stokes, “Bu başvuru aynı zamanda ‘Northwest Tech-Con Systems Ltd (2C4CB2P247)’ adlı bir geliştirici tarafından Apple tarafından imzalanmış ve noter tasdiklidir (iptal edildiğinden beri). Paket tanımlayıcısının com.EdoneViewer olduğunu ve uygulamanın ana yürütülebilir dosyasının, kodu çözüldükten sonra gizli bir yürütülebilir dosyayı bırakmak için bir alana ulaşan sabit kodlu bir URL olan EdoneViewer olduğunu ekledi.
Bu alan adı, on-global.xyz, KandyKorn Python betiğinin önceki kampanyalarında sonraki aşamadaki kötü amaçlı yazılımları ele geçirmek için ulaştığı bir URL olan tp.globa.xyz’ye benziyor. Araştırmacılar, bu alanın aynı zamanda önceki KandyKorn kampanyalarında hedeflenen sistemlere ilk erişim için kullanılan bir bileşen olan SugarLoader tarafından da kullanıldığını gözlemledi.
SentinelOne, potansiyel kurbanların güvenliğinin ihlal edilip edilmediğini belirlemelerine yardımcı olmak amacıyla, Kuzey Kore APT’lerinin saldırılarında gözlemlenen çeşitli kötü amaçlı yazılım türleri ve bileşenler için kapsamlı bir güvenlik ihlali göstergeleri (IoC) listesi içeriyordu.