28 Kasım 2023Haber odasıKötü Amaçlı Yazılım / Siber Casusluk
RustBucket ve KANDYKORN gibi macOS kötü amaçlı yazılım türlerinin arkasındaki Kuzey Koreli tehdit aktörlerinin, KANDYKORN’u sunmak için RustBucket düşürücülerden yararlanarak iki farklı saldırı zincirinin farklı unsurlarını “karıştırıp eşleştirdiği” gözlemlendi.
bulgular ObjCShellz adlı üçüncü bir macOS’a özel kötü amaçlı yazılımı da RustBucket kampanyasına bağlayan siber güvenlik firması SentinelOne’dan geliyor.
RustBucket, SwiftLoader olarak adlandırılan bir PDF okuyucu uygulamasının arka kapılı sürümünün, özel hazırlanmış bir yem belgesi görüntülendikten sonra Rust’ta yazılmış bir sonraki aşama kötü amaçlı yazılımı yüklemek için bir kanal olarak kullanıldığı, Lazarus Grubuna bağlı bir etkinlik kümesini ifade eder.
Öte yandan KANDYKORN kampanyası, isimsiz bir kripto değişim platformunun blockchain mühendislerinin, adını taşıyan tam özellikli belleğin konuşlandırılmasına yol açan karmaşık, çok aşamalı bir saldırı dizisini başlatmak üzere Discord aracılığıyla hedef alındığı kötü niyetli bir siber operasyonu ifade ediyor. yerleşik uzaktan erişim truva atı.
Saldırı bulmacasının üçüncü parçası, Jamf Threat Labs’in bu ayın başlarında saldırgan sunucudan gönderilen kabuk komutlarını yürüten uzak bir kabuk görevi gören daha sonraki aşamadaki bir yük olarak ortaya çıkardığı ObjCShellz’dir.
Bu kampanyaların SentinelOne tarafından daha ayrıntılı analizi, Lazarus Grubunun KANDYKORN’u dağıtmak için SwiftLoader’ı kullandığını gösterdi; bu da Google’ın sahibi olduğu Mandiant’ın, Kuzey Kore’deki farklı hacker gruplarının giderek birbirlerinin taktiklerini ve araçlarını nasıl ödünç aldığına ilişkin yakın tarihli bir raporunu doğruluyor.
Mandiant, “Kuzey Kore’nin siber ortamı, ortak araçlar ve hedefleme çabaları ile modern bir organizasyona dönüştü” dedi. “Görevlendirmeye yönelik bu esnek yaklaşım, savunucuların kötü niyetli etkinlikleri izlemesini, ilişkilendirmesini ve engellemesini zorlaştırırken, artık işbirlikçi olan bu düşmanın daha büyük bir hız ve uyum yeteneğiyle gizlice hareket etmesine olanak tanıyor.”
Bu, EdoneViewer adlı yürütülebilir bir dosya olduğu iddia edilen ancak gerçekte altyapıdaki örtüşmelere ve kullanılan taktiklere bağlı olarak muhtemelen KANDYKORN RAT’ı almak için aktör kontrollü bir alan adı ile bağlantı kuran SwiftLoader aşamalandırıcının yeni varyantlarının kullanımını içermektedir.
Açıklama, AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC) olarak geliyor. karışmış Lazarus’un bir alt grubu olan Andariel, NukeSped ve TigerRAT arka kapılarını yüklemek için Apache ActiveMQ’daki (CVE-2023-46604, CVSS puanı: 10,0) bir güvenlik açığından yararlanan siber saldırılara karşı koruma sağlıyor.
Popular Articles
- 24 Jul Meme Kanserinde Angelina Jolie Etkisi
- 28 Jul Yemende şiddet
- 11 Jul El Ele Dolaşan AK Partili Vekiller Günün Konusu Oldu
- 03 Aug Giresunda kayıp kız çocuğunu arama çalışmaları devam ediyor
- 14 Aug Avrupa Birliği Komisyonu tarafından Türkiye’nin Genişleme Raporu açıklandı. AB Komisyonu raporunda FETÖ terör örgütü olarak tanımlandı. - Haberler
Latest Articles
- 15 Aug Samsung, Galaxy S23’ün Renkli Bir Amiral Gemisi Olmasını İstiyor
- 07 Aug The Game Awards 2022de Duyurulan Tüm Oyunlar ve İzlemeye Doyamayacağınız Fragmanları
- 24 Jul Araştırmacılar, Gül Kokusunun Öğrenme Gücünü Artırdığını Keşfetti
- 02 Aug TheFork, Türkiyedeki operasyonlarını durdurma kararı aldı
- 09 Aug Fenerbahçe Teknik Direktörü İsmail Kartal: Maçın planını günlerce düşündüm
Other Articles
- BAEde casuslukla suçlanan İngiliz öğrenci yargılanıyor - Son Dakika Haberler
- “Adil Piyasa Davranışı”: Binance CEO’su, Zayıf Altcoinlerin Alım Satımında Artış Araştırıyor
- Kiralık ve satılık ev ilanı verme dönemi sona eriyor!
- F.Bahçenin ilk golünü atan Yasir Subaşı kimdir
- Zonguldakta Kandil gecesinde camiye girip hakaretler yağdırdı