Kandykorn Malware

تم التعرف على المهاجمين السيبرانيين الذين تدعمهم حكومة جمهورية كوريا الشعبية الديمقراطية (DPRK) على أنهم يستهدفون خبراء blockchain المرتبطين بمنصة تبادل عملات مشفرة غير محددة من خلال منصة المراسلة Discord. لقد استخدموا برنامجًا ضارًا جديدًا لنظام التشغيل MacOS يسمى KANDYKORN. يمكن إرجاع عملية التهديد هذه إلى أبريل 2023 وتتشابه مع مجموعة القرصنة سيئة السمعة المعروفة باسم Lazarus Group ، كما يتضح من فحص البنية التحتية للشبكة والتكتيكات المستخدمة.

قام المهاجمون بإغراء محترفي blockchain باستخدام تطبيق Python لإنشاء موطئ قدم أولي داخل البيئة المستهدفة. يتألف الاختراق من عدة مراحل معقدة، تشتمل كل مرحلة منها على تقنيات متعمدة لتجنب الكشف وتجاوز التدابير الأمنية.

استخدم ممثلو التهديد إغراءات الهندسة الاجتماعية لنشر برنامج Kandykorn الضار

إن استخدام مجموعة Lazarus Group للبرامج الضارة لنظام التشغيل MacOS في عملياتها ليس تطورًا حديثًا. في العام الماضي، تمت ملاحظة جهة التهديد هذه وهي تقوم بتوزيع تطبيق PDF تم التلاعب به، مما أدى في النهاية إلى نشر RustBucket، وهو باب خلفي يعتمد على AppleScript. يتمتع RustBucket بالقدرة على استرداد حمولة المرحلة الثانية من خادم بعيد.

ما يميز الحملة الجديدة هو تكتيك المهاجم المتمثل في انتحال شخصية مهندسي blockchain على خادم Discord عام واستخدام تقنيات الهندسة الاجتماعية لخداع الضحايا لتنزيل وتنفيذ أرشيف ZIP يحتوي على تعليمات برمجية ضارة.

يتم جعل الضحايا يعتقدون أنهم يقومون بتثبيت روبوت المراجحة، وهو أداة برمجية يمكنها استغلال الاختلافات في أسعار العملات المشفرة عبر المنصات لتحقيق الربح. في الواقع، هذه العملية الخادعة تمهد الطريق لتسليم كانديكورن، والذي يتكشف من خلال تقدم من خمس مراحل.

تعمل سلسلة العدوى متعددة المراحل على تسهيل إصابة البرامج الضارة Kandykorn

تمثل KANDYKORN غرسة متطورة تتمتع بمجموعة واسعة من الوظائف المصممة للمراقبة والتفاعل والتهرب من الاكتشاف. إنه يستخدم التحميل الانعكاسي، وهي طريقة لتنفيذ الذاكرة المباشرة التي يمكن أن تتجنب آليات الكشف.

تتضمن الخطوة الأولى في هذه العملية برنامج Python النصي، المعروف باسم "watcher.py"، والذي يسترد برنامج Python النصي الآخر، "testSpeed.py"، المستضاف على Google Drive. يعمل نص Python الثاني هذا بمثابة قطارة ويجلب ملف Python إضافيًا من عنوان URL لـ Google Drive، يسمى "FinderTools".

تعمل FinderTools أيضًا بمثابة قطارة مسؤولة عن تنزيل وتنفيذ حمولة المرحلة الثانية المخفية والمشار إليها باسم "SUGARLOADER" (الموجودة في /Users/shared/.sld و.log). يقوم SUGARLOADER بعد ذلك بإنشاء اتصال مع خادم بعيد لاسترداد KANDYKORN وتنفيذه مباشرة في الذاكرة.

يتولى SUGARLOADER دورًا إضافيًا من خلال إطلاق ثنائي موقّع ذاتيًا يستند إلى Swift يسمى "HLOADER"، والذي يحاول التنكر كتطبيق Discord الشرعي وتنفيذ ".log" (على سبيل المثال، SUGARLOADER) لتحقيق الاستمرارية من خلال تقنية تُعرف باسم التنفيذ. اختطاف التدفق.

KANDYKORN، الذي يعمل بمثابة الحمولة النهائية، هو حصان طروادة للوصول عن بعد (RAT) كامل الميزات ومقيم في الذاكرة مع إمكانات متأصلة لتعداد الملفات، وتشغيل البرامج الضارة التكميلية، وتصفية البيانات، وإنهاء العمليات، وتنفيذ أوامر عشوائية.

يؤكد وجود KANDYKORN على الجهود المستمرة التي تبذلها جمهورية كوريا الشعبية الديمقراطية، لا سيما من خلال كيانات مثل مجموعة Lazarus، لاستهداف الشركات ذات الصلة بالعملات المشفرة. هدفهم الأساسي هو سرقة العملات المشفرة من أجل التحايل على العقوبات الدولية التي تعيق نمو اقتصادهم وتطلعاتهم.