Βορειοκορεάτες hackers που χρησιμοποιούν macOS malware, όπως το RustBucket και το KANDYKORN, φαίνεται να “αναμιγνύουν” τώρα διαφορετικά στοιχεία των δύο διαφορετικών αλυσίδων επίθεσης, αξιοποιώντας RustBucket droppers για την παράδοση του KANDYKORN malware.

Την παρατήρηση αυτή έκανε η εταιρεία κυβερνοασφάλειας SentinelOne, η οποία συνέδεσε και ένα τρίτο macOS malware (ObjCSshellz) με την καμπάνια RustBucket.

Το RustBucket αναφέρεται σε ένα σύμπλεγμα δραστηριοτήτων που συνδέεται με τους Lazarus hackers. Περιλαμβάνει μια backdoored έκδοση μιας εφαρμογής ανάγνωσης PDF, που ονομάζεται SwiftLoader, η οποία χρησιμοποιείται ως μέσο για τη φόρτωση ενός κακόβουλου λογισμικού επόμενου σταδίου, κατά την προβολή ενός ειδικά κατασκευασμένου εγγράφου- δέλεαρ.

Δείτε επίσης: Το MetaStealer malware στοχεύει Apple macOS σε πρόσφατες επιθέσεις

Η καμπάνια KANDYKORN, από την άλλη πλευρά, αναφέρεται σε μια κακόβουλη επιχείρηση η οποία στόχευσε μηχανικούς blockchain μιας ανώνυμης πλατφόρμας ανταλλαγής κρυπτονομισμάτων. Η στόχευση έγινε μέσω του Discord και έπειτα ξεκίνησε μια επίθεση πολλαπλών σταδίων που οδήγησε στην ανάπτυξη του malware.

Το τρίτο macOS malware που ανέφερε η SentinelOne, είναι το ObjCShellz. Ανακαλύφθηκε πρόσφατα από την Jamf Threat Labs ως ένα later-stage payload που λειτουργεί ως remote shell και εκτελεί shell commands που αποστέλλονται από τον διακομιστή του εισβολέα.

Περαιτέρω ανάλυση αυτών των καμπανιών από την SentinelOne έδειξε ότι οι Lazarus hackers χρησιμοποιούν το SwiftLoader για τη διανομή του KANDYKORN, επιβεβαιώνοντας μια πρόσφατη αναφορά της Mandiant σχετικά με το πώς διαφορετικές ομάδες hacking από τη Βόρεια Κορέα δανείζονται ολοένα και περισσότερο τις τακτικές και τα εργαλεία άλλων.

Δείτε επίσης: Νέα παραλλαγή του XLoader macOS Malware μεταμφιέζεται ως OfficeNote app

Το τοπίο στον κυβερνοχώρο της Βόρειας Κορέας έχει εξελιχθεί σε έναν βελτιωμένο οργανισμό με κοινές προσπάθειες εργαλείων και στόχευσης”, είχε πει η Mandiant. “Αυτή η ευέλικτη προσέγγιση στην εκτέλεση εργασιών καθιστά δύσκολο για τους φορείς κυβερνοάμυνας να παρακολουθούν, να αποδίδουν και να αποτρέπουν κακόβουλες δραστηριότητες, ενώ επιτρέπει σε αυτόν τον αντίπαλο (όπου συνεργάζονται πολλοί) να κινείται κρυφά με μεγαλύτερη ταχύτητα

και προσαρμοστικότητα“.

Αυτό περιλαμβάνει τη χρήση νέων παραλλαγών του SwiftLoader stager που υποτίθεται ότι είναι ένα εκτελέσιμο με το όνομα EdoneViewer αλλά, στην πραγματικότητα, έρχεται σε επαφή με ένα domain, ελεγχόμενο από επιτιθέμενους, για να ανακτήσει πιθανώς το KANDYKORN RAT με βάση τις επικαλύψεις στην υποδομή και τις τακτικές που χρησιμοποιούνται.

Οι πιθανές συνέπειες των τελευταίων τακτικών των hackers της Βόρειας Κορέας για την ασφάλεια των συστημάτων macOS μπορεί να είναι σοβαρές και ανησυχητικές. Οι hackers αυτοί εξελίσσουν συνεχώς τις τακτικές τους για να αποφύγουν την ανίχνευση, καθιστώντας τα συστήματα macOS ευάλωτα σε επιθέσεις.

Δείτε επίσης: Charming Kitten: Χρησιμοποιεί το νέο NokNok malware για macOS

Με την εφαρμογή των νέων τακτικών, μπορούν να παρακάμπτουν τα μέτρα ασφαλείας που έχουν τεθεί για την προστασία των συστημάτων macOS. Αυτό μπορεί να οδηγήσει σε μεγαλύτερο αριθμό επιτυχημένων επιθέσεων και παραβίασης της ασφάλειας των συστημάτων.

Οι hackers της Βόρειας Κορέας μπορεί να εκμεταλλευτούν τις νέες τακτικές τους για να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα και πληροφορίες που αποθηκεύονται σε συστήματα macOS. Αυτό μπορεί να έχει σοβαρές συνέπειες για την ασφάλεια των δεδομένων και την ιδιωτικότητα των χρηστών.

Πηγή: thehackernews.com