Kandykorn Malware
ডেমোক্রেটিক পিপলস রিপাবলিক অফ কোরিয়া (DPRK) সরকার দ্বারা সমর্থিত সাইবার আক্রমণকারীদের মেসেজিং প্ল্যাটফর্ম ডিসকর্ডের মাধ্যমে একটি অনির্দিষ্ট ক্রিপ্টোকারেন্সি এক্সচেঞ্জ প্ল্যাটফর্মের সাথে যুক্ত ব্লকচেইন বিশেষজ্ঞদের লক্ষ্য করে চিহ্নিত করা হয়েছে। তারা KANDYKORN নামে একটি নতুন macOS ম্যালওয়্যার নিয়োগ করেছে। এই হুমকিমূলক অপারেশন 2023 সালের এপ্রিলে খুঁজে পাওয়া যেতে পারে এবং Lazarus Group নামে পরিচিত কুখ্যাত হ্যাকিং গ্রুপের সাথে মিল রয়েছে, যা নেটওয়ার্ক অবকাঠামো এবং ব্যবহৃত কৌশলগুলির একটি পরীক্ষা দ্বারা নির্দেশিত হয়েছে।
আক্রমণকারীরা একটি পাইথন অ্যাপ্লিকেশন ব্যবহার করে ব্লকচেইন পেশাদারদের প্রলুব্ধ করেছিল লক্ষ্যযুক্ত পরিবেশের মধ্যে একটি প্রাথমিক পা রাখার জন্য। অনুপ্রবেশে একাধিক জটিল পর্যায় রয়েছে, প্রতিটিতে সনাক্তকরণ এড়াতে এবং নিরাপত্তা ব্যবস্থা বাইপাস করার জন্য ইচ্ছাকৃত কৌশল অন্তর্ভুক্ত করা হয়েছে।
হুমকি অভিনেতারা Kandykorn Malware স্থাপনের জন্য সোশ্যাল-ইঞ্জিনিয়ারিং লুরস ব্যবহার করেছিল
ল্যাজারস গ্রুপ তাদের ক্রিয়াকলাপে macOS ম্যালওয়্যারের ব্যবহার সাম্প্রতিক বিকাশ নয়। গত বছরে, এই হুমকি অভিনেতাকে একটি টেম্পারড পিডিএফ অ্যাপ্লিকেশন প্রচার করতে দেখা গেছে, যা অবশেষে অ্যাপলস্ক্রিপ্টের উপর ভিত্তি করে একটি ব্যাকডোর রাস্টবাকেট স্থাপনের দিকে পরিচালিত করেছিল। RustBucket একটি দূরবর্তী সার্ভার থেকে একটি দ্বিতীয় পর্যায়ের পেলোড পুনরুদ্ধার করার ক্ষমতা ছিল।
নতুন প্রচারাভিযানটিকে যা আলাদা করে তা হল আক্রমণকারীর একটি পাবলিক ডিসকর্ড সার্ভারে ব্লকচেইন ইঞ্জিনিয়ার হিসাবে জাহির করা এবং ক্ষতিকারকদের ক্ষতিকারক কোড সম্বলিত জিপ সংরক্ষণাগার ডাউনলোড এবং কার্যকর করার জন্য প্রতারিত করার জন্য সামাজিক প্রকৌশল কৌশল ব্যবহার করা।
ক্ষতিগ্রস্থদের বিশ্বাস করানো হয় যে তারা একটি আরবিট্রেজ বট ইনস্টল করছে, একটি সফ্টওয়্যার টুল যা লাভের জন্য প্ল্যাটফর্ম জুড়ে ক্রিপ্টোকারেন্সি হারের পার্থক্যকে কাজে লাগাতে পারে। বাস্তবে, এই প্রতারণামূলক প্রক্রিয়াটি KANDYKORN সরবরাহের পর্যায় নির্ধারণ করে, যা একটি পাঁচ-পর্যায়ের অগ্রগতির মধ্য দিয়ে উন্মোচিত হয়।
একটি মাল্টি-স্টেজ ইনফেকশন চেইন ক্যান্ডিকর্ন ম্যালওয়্যার সংক্রমণের সুবিধা দেয়
KANDYKORN একটি অত্যাধুনিক ইমপ্লান্ট প্রতিনিধিত্ব করে যা নিরীক্ষণ, মিথস্ক্রিয়া এবং সনাক্তকরণের ফাঁকি দেওয়ার জন্য ডিজাইন করা কার্যকারিতার বিস্তৃত পরিসরে সমৃদ্ধ। এটি প্রতিফলিত লোডিং নিযুক্ত করে, সরাসরি-মেমরি সম্পাদনের একটি পদ্ধতি যা সম্ভাব্য সনাক্তকরণ প্রক্রিয়া এড়াতে পারে।
এই প্রক্রিয়ার প্রাথমিক ধাপে একটি পাইথন স্ক্রিপ্ট জড়িত, যা 'watcher.py' নামে পরিচিত, যা Google ড্রাইভে হোস্ট করা আরেকটি পাইথন স্ক্রিপ্ট, 'testSpeed.py' পুনরুদ্ধার করে। এই দ্বিতীয় পাইথন স্ক্রিপ্টটি একটি ড্রপার হিসাবে কাজ করে এবং একটি Google ড্রাইভ URL থেকে একটি অতিরিক্ত পাইথন ফাইল নিয়ে আসে, যার নাম 'FinderTools'।
FinderTools একটি ড্রপার হিসেবেও কাজ করে, যা 'SUGARLOADER' (/Users/shared/.sld এবং .log-এ অবস্থিত) হিসাবে উল্লেখিত একটি গোপন করা দ্বিতীয়-পর্যায়ের পেলোড ডাউনলোড এবং কার্যকর করার জন্য দায়ী। KANDYKORN পুনরুদ্ধার করতে এবং এটি সরাসরি মেমরিতে কার্যকর করতে SUGARLOADER পরবর্তীকালে একটি দূরবর্তী সার্ভারের সাথে একটি সংযোগ স্থাপন করে।
SUGARLOADER 'HLOADER' নামে একটি স্ব-স্বাক্ষরিত সুইফট-ভিত্তিক বাইনারি চালু করার মাধ্যমে একটি অতিরিক্ত ভূমিকা নেয়, যা বৈধ ডিসকর্ড অ্যাপ্লিকেশন হিসাবে মাস্করাড করার চেষ্টা করে এবং এক্সিকিউট নামে পরিচিত একটি কৌশলের মাধ্যমে অধ্যবসায় অর্জনের জন্য '.log' (অর্থাৎ, SUGARLOADER) কার্যকর করার চেষ্টা করে। প্রবাহ হাইজ্যাকিং
KANDYKORN, চূড়ান্ত পেলোড হিসেবে কাজ করছে, একটি সম্পূর্ণ বৈশিষ্ট্যযুক্ত মেমরি-রেসিডেন্ট রিমোট অ্যাকসেস ট্রোজান (RAT) ফাইল গণনা, সম্পূরক ম্যালওয়্যার চালানো, ডেটা উত্তোলন করা, প্রক্রিয়া বন্ধ করা এবং নির্বিচারে আদেশ কার্যকর করার অন্তর্নিহিত ক্ষমতা সহ।
KANDYKORN-এর উপস্থিতি ক্রিপ্টোকারেন্সি-সম্পর্কিত ব্যবসাগুলিকে টার্গেট করার জন্য বিশেষ করে লাজারাস গ্রুপের মতো সংস্থাগুলির মাধ্যমে DPRK-এর ক্রমাগত প্রচেষ্টার উপর জোর দেয়। তাদের প্রাথমিক উদ্দেশ্য হল ক্রিপ্টোকারেন্সি চুরি করা যাতে আন্তর্জাতিক নিষেধাজ্ঞাগুলি তাদের অর্থনীতি এবং আকাঙ্ক্ষার বৃদ্ধিকে বাধা দেয়।
