Los hackers norcoreanos están detrás de varias cepas de malware para macOS, como RustBucket y KANDYKORN, que han sido observadas “mezclando y combinando” diferentes elementos de las dos cadenas de ataque distintas, aprovechando los droppers de RustBucket para entregar KANDYKORN. Estos hallazgos provienen de una firma de ciberseguridad, que también vinculó un tercer malware específico para macOS llamado ObjCShellz a la campaña de RustBucket.
Te podrá interesar leer: Hackers BlueNoroff Usan Malware ObjCShellz para Infiltrar Macs
RustBucket se refiere a un grupo de actividad vinculado al Grupo Lazarus, en el que se utiliza una versión puerta trasera de una aplicación lectora de PDF, llamada SwiftLoader, como un conducto para cargar un malware de siguiente etapa escrito en Rust al ver un documento de señuelo especialmente diseñado. El Grupo Lazarus es un grupo de hackers patrocinado por el estado que se cree que opera desde Corea del Norte y que ha sido responsable de algunos de los ataques cibernéticos más notorios de la última década, como el robo de 81 millones de dólares al Banco Central de Bangladesh en 2016, el ataque de ransomware WannaCry en 2017 y el robo de 250 millones de dólares en criptomonedas en 2018.
Te podrá interesar: Grupo de Hackers Lazarus: Amenazas Cibernéticas Norcoreanas
KANDYKORN es el nombre de una operación cibernética maliciosa en la que los ingenieros de blockchain de una plataforma de intercambio de criptomonedas no identificada fueron atacados a través de Discord para iniciar una sofisticada secuencia de ataque de varias etapas que condujo a la implementación del troyano de acceso remoto (RAT) KANDYKORN, de pleno derecho y residente en la memoria. El objetivo de esta campaña es probablemente el robo de criptomonedas y el uso de objetivos comprometidos como un entorno de preparación para ataques adicionales.
ObjCShellz es una carga útil de última etapa que actúa como una shell remota que ejecuta comandos de shell enviados desde el servidor del atacante. Jamf Threat Labs reveló este malware a principios de este mes como parte de la campaña de RustBucket. ObjCShellz está escrito en Objective-C y utiliza la API de Scripting Bridge para interactuar con otras aplicaciones instaladas en el sistema, como el navegador Safari, el cliente de correo electrónico Mail o el administrador de contraseñas Keychain Access. Esto le permite al atacante robar información sensible, como credenciales, historial de navegación, cookies, correos electrónicos y archivos adjuntos.
Te podrá interesar leer: Jamf Threat Labs: Laboratorio de Amenazas Informáticas
El análisis de estas campañas ha mostrado que el Grupo Lazarus está utilizando SwiftLoader para distribuir KANDYKORN, corroborando un informe reciente de Mandiant, propiedad de Google, sobre cómo los diferentes grupos de hackers de Corea del Norte están cada vez más tomando prestadas las tácticas y herramientas de los demás. “El panorama cibernético de la RPDC ha evolucionado a una organización optimizada con herramientas y esfuerzos de focalización compartidos”, señaló Mandiant. “Este enfoque flexible de la asignación de tareas dificulta a los defensores rastrear, atribuir y frustrar las actividades maliciosas, al tiempo que permite a este adversario colaborativo moverse sigilosamente con mayor velocidad y adaptabilidad”.
Esto incluye el uso de nuevas variantes del stager SwiftLoader que pretende ser un ejecutable llamado EdoneViewer pero, en realidad, contacta con un dominio controlado por el actor para recuperar probablemente el RAT KANDYKORN basándose en las superposiciones de infraestructura y las tácticas empleadas. La divulgación se produce cuando el Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC) implicó a Andariel, un subgrupo dentro de Lazarus, en ataques cibernéticos que explotan una vulnerabilidad de seguridad en Apache ActiveMQ (CVE-2023-46604, puntuación CVSS: 10.0) para instalar las puertas traseras NukeSped y TigerRAT.
Podría interesarte leer: Jamf Protect: Protección de Dispositivos macOS
Estas campañas demuestran que los hackers norcoreanos no se limitan a atacar a los usuarios de Windows, sino que también tienen un interés creciente en los sistemas macOS, especialmente los relacionados con el sector de las criptomonedas. Además, muestran que los actores de amenazas son capaces de adaptarse y evolucionar rápidamente, reutilizando y combinando diferentes componentes de malware para aumentar su efectividad y evitar la detección. Esto plantea un desafío para los defensores, que deben estar al tanto de las últimas técnicas y herramientas utilizadas por estos grupos y aplicar las medidas de seguridad adecuadas para proteger sus sistemas y datos.
Algunas de las medidas de seguridad que se pueden tomar para prevenir o mitigar estos ataques son las siguientes:
Los hackers norcoreanos están mezclando y combinando tácticas de malware para macOS para evadir la detección y robar criptomonedas. Estas campañas apuntan a los ingenieros de blockchain y los desarrolladores de software mediante el uso de técnicas de ingeniería social y malware de varias etapas. Los usuarios de macOS deben estar atentos a estos ataques y tomar las precauciones necesarias para proteger sus sistemas y datos.