Piratage informatique : les pirates coréens utilisent des tactiques mélangées pour échapper à la détection

Ces conclusions proviennent de la société de cybersécurité SentinelOne, qui a également associé un troisième logiciel malveillant spécifique à macOS, appelé ObjCShellz, à la campagne RustBucket.

RustBucket fait référence à un groupe d’activités lié au Lazarus Group, dans lequel une version détournée d’une application de lecture de PDF, appelée SwiftLoader, est utilisée comme conduit pour charger un logiciel malveillant de niveau suivant écrit en Rust lors de la visualisation d’un document-leurre spécialement conçu à cet effet.

La campagne KANDYKORN, quant à elle, fait référence à une cyber-opération malveillante dans laquelle les ingénieurs blockchain d’une plateforme d’échange de crypto-monnaies anonyme ont été ciblés via Discord pour lancer une séquence d’attaque sophistiquée en plusieurs étapes qui a conduit au déploiement du cheval de Troie d’accès à distance complet résidant en mémoire éponyme.

La troisième pièce du puzzle de l’attaque est ObjCShellz, que Jamf Threat Labs a révélé au début du mois en tant que charge utile à un stade ultérieur qui agit comme un shell à distance qui exécute les commandes shell envoyées par le serveur de l’attaquant.

Une analyse plus poussée de ces campagnes par SentinelOne a montré que le Lazarus Group utilise SwiftLoader pour distribuer KANDYKORN, ce qui corrobore un rapport récent de Mandiant, propriété de Google, sur la façon dont les différents groupes de pirates de Corée du Nord empruntent de plus en plus les tactiques et les outils des autres.

« Le paysage cybernétique de la RPDC a évolué vers une organisation rationalisée avec des outils et des efforts de ciblage partagés », note Mandiant. « Cette approche flexible des tâches rend difficile pour les défenseurs de suivre, d’attribuer et de contrecarrer les activités malveillantes, tout en permettant à cet adversaire désormais collaboratif de se déplacer furtivement avec plus de rapidité et d’adaptabilité. »
Cela inclut l’utilisation de nouvelles variantes du stager SwiftLoader qui prétend être un exécutable nommé EdoneViewer mais qui, en réalité, contacte un domaine contrôlé par un acteur pour récupérer probablement le KANDYKORN RAT en se basant sur les chevauchements d’infrastructure et les tactiques employées.

Cette révélation intervient alors que l’AhnLab Security Emergency Response Center (ASEC) a impliqué Andariel – un sous-groupe de Lazarus – dans des cyberattaques exploitant une faille de sécurité dans Apache ActiveMQ (CVE-2023-46604, CVSS score : 10.0) pour installer les portes dérobées NukeSped et TigerRAT.