Gli hacker nordcoreani, noti per il loro utilizzo di malware macOS come RustBucket e KANDYKORN, stanno adottando una strategia di “mix and match” per combinare elementi di queste due diverse catene di attacco. Le recenti scoperte della società di cybersecurity SentinelOne rivelano che i dropper RustBucket vengono utilizzati per distribuire il malware KANDYKORN, segnando un’evoluzione significativa nelle tattiche di attacco del gruppo Lazarus.
Dettagli campagne di attacco
RustBucket è associato a un cluster di attività legato al gruppo Lazarus, in cui una versione compromessa di un’app lettore PDF, denominata SwiftLoader, viene utilizzata come condotto per caricare un malware di prossima fase scritto in Rust dopo la visualizzazione di un documento esca appositamente creato. La campagna KANDYKORN, invece, si riferisce a un’operazione cybercriminale in cui ingegneri blockchain di una piattaforma di scambio cripto non specificata sono stati presi di mira tramite Discord, innescando una sequenza di attacchi multi-stadio che ha portato al dispiegamento del trojan di accesso remoto KANDYKORN.
ObjCShellz: nuovo elemento nell’attacco
Un terzo elemento dell’attacco è ObjCShellz, rivelato da Jamf Threat Labs come un payload di fase successiva che funge da shell remota, eseguendo comandi shell inviati dal server dell’attaccante. L’analisi di SentinelOne ha mostrato che il gruppo Lazarus sta utilizzando SwiftLoader per distribuire KANDYKORN, confermando un recente rapporto di Mandiant, di proprietà di Google, su come diversi gruppi di hacker nordcoreani stiano sempre più prendendo in prestito tattiche e strumenti gli uni dagli altri.
Implicazioni per la Sicurezza Informatica
Questa evoluzione nel paesaggio cyber della Corea del Nord rappresenta una sfida per i difensori, rendendo difficile tracciare, attribuire e contrastare le attività malevole. La flessibilità e la collaborazione tra questi gruppi di hacker permettono loro di muoversi con maggiore velocità e adattabilità, rendendo gli attacchi più difficili da prevenire.
Considerazioni finali
La mescolanza di tattiche e strumenti tra i gruppi di hacker nordcoreani segnala un cambiamento significativo nel panorama delle minacce cyber. Le organizzazioni devono essere consapevoli di queste evoluzioni e adottare misure di sicurezza informatica robuste per proteggersi da queste minacce sempre più sofisticate.