Home
Forums
New posts
Search forums
What's new
New posts
New profile posts
Latest activity
Members
Current visitors
New profile posts
Search profile posts
Log in
Register
What's new
Search
Search
Search titles only
By:
New posts
Search forums
Menu
Log in
Register
Install the app
Install
JavaScript is disabled. For a better experience, please enable JavaScript in your browser before proceeding.
You are using an out of date browser. It may not display this or other websites correctly.
You should upgrade or use an
alternative browser
.
Reply to thread
Home
Forums
CARDING & HACKING
Carding News
Северокорейские хакеры "смешивают" тактику вредоносного ПО macOS, чтобы избежать обнаружения
Message
<blockquote data-quote="Brianwill" data-source="post: 888" data-attributes="member: 15"><p>Было замечено, что северокорейские злоумышленники, стоящие за вредоносными программами для macOS, такими как RustBucket и KANDYKORN, "смешивают и сопоставляют" различные элементы двух разрозненных цепочек атак, используя капельницы RustBucket для доставки KANDYKORN.</p><p></p><p>Выводы получены фирмой по кибербезопасности SentinelOne, которая также связала третье вредоносное ПО для macOS под названием ObjCShellz с кампанией RustBucket.</p><p></p><p>RustBucket относится к кластеру действий, связанному с Lazarus Group, в котором бэкдорированная версия приложения для чтения PDF, получившая название SwiftLoader, используется в качестве канала для загрузки вредоносного ПО следующего этапа, написанного на Rust, при просмотре специально созданного документа lure.</p><p></p><p>Кампания KANDYKORN, с другой стороны, относится к вредоносной кибероперации, в ходе которой блокчейн-инженеры неназванной платформы криптообмена были нацелены через Discord для инициирования сложной многоступенчатой последовательности атак, которая привела к развертыванию одноименного полнофункционального троянца удаленного доступа к резидентной памяти.</p><p></p><p>Третья часть головоломки атаки - ObjCShellz, которую Jamf Threat Labs раскрыла ранее в этом месяце как полезную нагрузку более поздней стадии, действующую как удаленная оболочка, выполняющая команды оболочки, отправленные с сервера злоумышленника.</p><p></p><p><img src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj0GfuXs17rGwRxhE6GfgxUz4BG08rxqjBwnKnbzo6LcIWUyN4-KWXrjQ7uVvd0dbtTu7T6R0Wg3hYk_ET-qRGB4EUTK-DybS0guwDq_-Hm1I2PaXgiljZ0Q_WmfCmiSC-LTVVd7yUuZgGzYEZG-0ESOSs3u9l4B9BfOcBnZoKw7bi2Gu62gLJ3OADXrl_v/s728-rw-ft-e30/macos.jpg" alt="Вредоносное ПО macOS" class="fr-fic fr-dii fr-draggable " style="" /></p><p></p><p></p><p>Дальнейший анализ этих кампаний SentinelOne показал, что группа Lazarus использует SwiftLoader для распространения KANDYKORN, что подтверждает недавний отчет Mandiant, принадлежащей Google, о том, как различные хакерские группы из Северной Кореи все чаще заимствуют тактику и инструменты друг друга.</p><p></p><p>"Киберпространство КНДР превратилось в упорядоченную организацию с общими инструментами и целенаправленными усилиями", - отметил Мандиант. "Такой гибкий подход к распределению задач затрудняет для защитников отслеживание, атрибуцию и пресечение вредоносных действий, в то же время позволяя этому теперь сотрудничающему противнику действовать скрытно с большей скоростью и адаптивностью".</p><p></p><p>Это включает в себя использование новых вариантов stager SwiftLoader, который выдает себя за исполняемый файл с именем EdoneViewer, но на самом деле связывается с доменом, контролируемым участником, чтобы, вероятно, получить KANDYKORN RAT, основываясь на совпадениях в инфраструктуре и используемой тактике.</p><p></p><p>Раскрытие происходит после того, как Центр реагирования на чрезвычайные ситуации AhnLab Security (ASEC) причастил Andariel – подгруппу внутри Lazarus – к кибератакам, использующим уязвимость в системе безопасности Apache ActiveMQ (CVE-2023-46604, оценка CVSS: 10.0) для установки бэкдоров NukeSped и TigerRAT.</p></blockquote><p></p>
[QUOTE="Brianwill, post: 888, member: 15"] Было замечено, что северокорейские злоумышленники, стоящие за вредоносными программами для macOS, такими как RustBucket и KANDYKORN, "смешивают и сопоставляют" различные элементы двух разрозненных цепочек атак, используя капельницы RustBucket для доставки KANDYKORN. Выводы получены фирмой по кибербезопасности SentinelOne, которая также связала третье вредоносное ПО для macOS под названием ObjCShellz с кампанией RustBucket. RustBucket относится к кластеру действий, связанному с Lazarus Group, в котором бэкдорированная версия приложения для чтения PDF, получившая название SwiftLoader, используется в качестве канала для загрузки вредоносного ПО следующего этапа, написанного на Rust, при просмотре специально созданного документа lure. Кампания KANDYKORN, с другой стороны, относится к вредоносной кибероперации, в ходе которой блокчейн-инженеры неназванной платформы криптообмена были нацелены через Discord для инициирования сложной многоступенчатой последовательности атак, которая привела к развертыванию одноименного полнофункционального троянца удаленного доступа к резидентной памяти. Третья часть головоломки атаки - ObjCShellz, которую Jamf Threat Labs раскрыла ранее в этом месяце как полезную нагрузку более поздней стадии, действующую как удаленная оболочка, выполняющая команды оболочки, отправленные с сервера злоумышленника. [IMG alt="Вредоносное ПО macOS"]https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj0GfuXs17rGwRxhE6GfgxUz4BG08rxqjBwnKnbzo6LcIWUyN4-KWXrjQ7uVvd0dbtTu7T6R0Wg3hYk_ET-qRGB4EUTK-DybS0guwDq_-Hm1I2PaXgiljZ0Q_WmfCmiSC-LTVVd7yUuZgGzYEZG-0ESOSs3u9l4B9BfOcBnZoKw7bi2Gu62gLJ3OADXrl_v/s728-rw-ft-e30/macos.jpg[/IMG] Дальнейший анализ этих кампаний SentinelOne показал, что группа Lazarus использует SwiftLoader для распространения KANDYKORN, что подтверждает недавний отчет Mandiant, принадлежащей Google, о том, как различные хакерские группы из Северной Кореи все чаще заимствуют тактику и инструменты друг друга. "Киберпространство КНДР превратилось в упорядоченную организацию с общими инструментами и целенаправленными усилиями", - отметил Мандиант. "Такой гибкий подход к распределению задач затрудняет для защитников отслеживание, атрибуцию и пресечение вредоносных действий, в то же время позволяя этому теперь сотрудничающему противнику действовать скрытно с большей скоростью и адаптивностью". Это включает в себя использование новых вариантов stager SwiftLoader, который выдает себя за исполняемый файл с именем EdoneViewer, но на самом деле связывается с доменом, контролируемым участником, чтобы, вероятно, получить KANDYKORN RAT, основываясь на совпадениях в инфраструктуре и используемой тактике. Раскрытие происходит после того, как Центр реагирования на чрезвычайные ситуации AhnLab Security (ASEC) причастил Andariel – подгруппу внутри Lazarus – к кибератакам, использующим уязвимость в системе безопасности Apache ActiveMQ (CVE-2023-46604, оценка CVSS: 10.0) для установки бэкдоров NukeSped и TigerRAT. [/QUOTE]
Name
Verification
Post reply
Home
Forums
CARDING & HACKING
Carding News
Северокорейские хакеры "смешивают" тактику вредоносного ПО macOS, чтобы избежать обнаружения
Top