Зловреден софтуер Kandykorn

Кибер нападателите, подкрепяни от правителството на Корейската народнодемократична република (КНДР), са идентифицирани като насочени към блокчейн експерти, свързани с неуточнена платформа за обмен на криптовалута чрез платформата за съобщения Discord. Те са използвали нов зловреден софтуер за macOS, наречен KANDYKORN. Тази заплашителна операция може да бъде проследена до април 2023 г. и споделя прилики с прословутата хакерска група, известна като Lazarus Group , както е посочено от изследване на мрежовата инфраструктура и използваните тактики.

Нападателите са примамили блокчейн професионалисти, използващи приложение на Python, за да установят първоначална опора в рамките на целевата среда. Проникването се състоеше от множество сложни фази, като всяка от тях включваше умишлени техники за избягване на откриването и заобикаляне на мерките за сигурност.

Актьорите на заплахата са използвали примамки за социално инженерство, за да разположат злонамерения софтуер Kandykorn

Използването на зловреден софтуер на macOS от Lazarus Group в техните операции не е скорошно развитие. През изминалата година тази заплаха беше наблюдавана да разпространява подправено PDF приложение, което в крайна сметка доведе до внедряването на RustBucket, задна врата, базирана на AppleScript. RustBucket имаше способността да извлича полезен товар от втори етап от отдалечен сървър.

Това, което отличава новата кампания, е тактиката на атакуващия да се представя за блокчейн инженери на публичен сървър на Discord и да използва техники за социално инженерство, за да подмами жертвите да изтеглят и изпълнят ZIP архив, съдържащ злонамерен код.

Жертвите са накарани да вярват, че инсталират арбитражен бот, софтуерен инструмент, който може да използва разликите в курсовете на криптовалута между платформите за печалба. В действителност този измамен процес поставя началото на доставката на KANDYKORN, която се разгръща чрез прогресия от пет етапа.

Многоетапна верига за заразяване улеснява заразяването със зловреден софтуер Kandykorn

KANDYKORN представлява усъвършенстван имплант, надарен с широк набор от функционалности, предназначени за наблюдение, взаимодействие и избягване на откриване. Той използва отразяващо натоварване, метод за изпълнение с директна памет, който потенциално може да избегне механизмите за откриване.

Първоначалната стъпка в този процес включва скрипт на Python, известен като „watcher.py“, който извлича друг скрипт на Python, „testSpeed.py“, хостван в Google Drive. Този втори скрипт на Python действа като капкомер и извлича допълнителен файл на Python от URL адрес на Google Drive, наречен „FinderTools“.

FinderTools също така служи като капкомер, отговорен за изтеглянето и изпълнението на скрит полезен товар от втори етап, наричан „SUGARLOADER“ (разположен в /Users/shared/.sld и .log). SUGARLOADER впоследствие установява връзка с отдалечен сървър, за да извлече KANDYKORN и да го изпълни директно в паметта.

SUGARLOADER поема допълнителна роля, като стартира самоподписан двоичен файл, базиран на Swift, наречен „HLOADER“, който се опитва да се маскира като легитимното приложение на Discord и да изпълни „.log“ (т.е. SUGARLOADER), за да постигне постоянство чрез техника, известна като изпълнение отвличане на потока.

KANDYKORN, служещ като най-добрия полезен товар, е напълно функционален резидентен в паметта троянски кон за отдалечен достъп (RAT) с присъщи възможности за изброяване на файлове, стартиране на допълнителен зловреден софтуер, ексфилтриране на данни, прекратяване на процеси и изпълнение на произволни команди.

Присъствието на KANDYKORN подчертава непрекъснатите усилия на КНДР, особено чрез субекти като Lazarus Group, за насочване към бизнеси, свързани с криптовалута. Основната им цел е да откраднат криптовалута, за да заобиколят международните санкции, които възпрепятстват растежа на тяхната икономика и стремежи.