Kuzey Koreli Hackerlar Tespitten Kaçmak İçin macOS Kötü Amaçlı Yazılım Taktiklerini ‘Karıştırıyor’


28 Kasım 2023Haber odasıKötü Amaçlı Yazılım / Siber Casusluk

macOS Kötü Amaçlı Yazılım

RustBucket ve KANDYKORN gibi macOS kötü amaçlı yazılım türlerinin arkasındaki Kuzey Koreli tehdit aktörlerinin, KANDYKORN’u sunmak için RustBucket düşürücülerden yararlanarak iki farklı saldırı zincirinin farklı unsurlarını “karıştırıp eşleştirdiği” gözlemlendi.

Bulgular, ObjCShellz adlı macOS’a özel üçüncü bir kötü amaçlı yazılımı da RustBucket kampanyasına bağlayan siber güvenlik firması SentinelOne’dan geliyor.

RustBucket, SwiftLoader olarak adlandırılan bir PDF okuyucu uygulamasının arka kapılı sürümünün, özel hazırlanmış bir yem belgesi görüntülendikten sonra Rust’ta yazılmış bir sonraki aşama kötü amaçlı yazılımı yüklemek için bir kanal olarak kullanıldığı, Lazarus Grubuna bağlı bir etkinlik kümesini ifade eder.

Siber güvenlik

Öte yandan KANDYKORN kampanyası, isimsiz bir kripto değişim platformunun blockchain mühendislerinin, adını taşıyan tam özellikli belleğin konuşlandırılmasına yol açan karmaşık, çok aşamalı bir saldırı dizisini başlatmak üzere Discord aracılığıyla hedef alındığı kötü niyetli bir siber operasyonu ifade ediyor. yerleşik uzaktan erişim truva atı.

Saldırı bulmacasının üçüncü parçası, Jamf Threat Labs’in bu ayın başlarında saldırgan sunucudan gönderilen kabuk komutlarını yürüten uzak bir kabuk görevi gören daha sonraki aşamadaki bir yük olarak ortaya çıkardığı ObjCShellz’dir.

macOS Kötü Amaçlı Yazılım

Bu kampanyaların SentinelOne tarafından daha ayrıntılı analizi, Lazarus Grubunun KANDYKORN’u dağıtmak için SwiftLoader’ı kullandığını gösterdi; bu da Google’ın sahibi olduğu Mandiant’ın, Kuzey Kore’deki farklı hacker gruplarının giderek birbirlerinin taktiklerini ve araçlarını nasıl ödünç aldığına ilişkin yakın tarihli bir raporunu doğruluyor.

Mandiant, “Kuzey Kore’nin siber ortamı, ortak araçlar ve hedefleme çabaları ile modern bir organizasyona dönüştü” dedi. “Görevlendirmeye yönelik bu esnek yaklaşım, savunucuların kötü niyetli etkinlikleri izlemesini, ilişkilendirmesini ve engellemesini zorlaştırırken, artık işbirlikçi olan bu düşmanın daha büyük bir hız ve uyum yeteneğiyle gizlice hareket etmesine olanak tanıyor.”

Siber güvenlik

Bu, EdoneViewer adlı yürütülebilir bir dosya olduğu iddia edilen ancak gerçekte altyapıdaki örtüşmelere ve kullanılan taktiklere bağlı olarak muhtemelen KANDYKORN RAT’ı almak için aktör kontrollü bir alan adı ile bağlantı kuran SwiftLoader aşamalandırıcının yeni varyantlarının kullanımını içermektedir.

Açıklama, AhnLab Güvenlik Acil Durum Müdahale Merkezi’nin (ASEC), Lazarus bünyesindeki bir alt grup olan Andariel’in, NukeSped ve TigerRAT arka kapılarını kurmak için Apache ActiveMQ’daki (CVE-2023-46604, CVSS puanı: 10.0) bir güvenlik açığından yararlanan siber saldırılara karıştığını öne sürdüğünde geldi.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link