Programari maliciós Kandykorn

Els ciberatacants recolzats pel govern de la República Popular Democràtica de Corea (RPDC) s'han identificat com a objectiu d'experts en blockchain associats amb una plataforma d'intercanvi de criptomoneda no especificada a través de la plataforma de missatgeria Discord. Han emprat un nou programari maliciós de macOS anomenat KANDYKORN. Aquesta operació amenaçadora es remunta a l'abril de 2023 i comparteix similituds amb el famós grup de pirateria informàtica conegut com a Grup Lazarus , tal com indica un examen de la infraestructura de xarxa i les tàctiques utilitzades.

Els atacants van atraure els professionals de la cadena de blocs utilitzant una aplicació Python per establir un punt inicial dins de l'entorn objectiu. La intrusió va consistir en múltiples fases intricades, cadascuna incorporant tècniques deliberades per evadir la detecció i evitar les mesures de seguretat.

Els actors de l'amenaça van utilitzar esquers d'enginyeria social per desplegar el programari maliciós Kandykorn

La utilització del grup Lazarus del programari maliciós de macOS en les seves operacions no és un desenvolupament recent. L'any passat, s'ha observat que aquest actor d'amenaça difon una aplicació PDF manipulada, que finalment va provocar el desplegament de RustBucket, una porta posterior basada en AppleScript. RustBucket tenia la capacitat de recuperar una càrrega útil de segona etapa d'un servidor remot.

El que distingeix la nova campanya és la tàctica de l'atacant de fer-se passar per enginyers de blockchain en un servidor públic de Discord i emprar tècniques d'enginyeria social per enganyar les víctimes perquè baixin i executin un arxiu ZIP que conté codi maliciós.

Es fa creure a les víctimes que estan instal·lant un bot d'arbitratge, una eina de programari que pot aprofitar les diferències en els tipus de criptomoneda entre plataformes per obtenir beneficis. En realitat, aquest procés enganyós prepara les bases per al lliurament de KANDYKORN, que es desenvolupa mitjançant una progressió de cinc etapes.

Una cadena d'infecció en diverses etapes facilita la infecció de programari maliciós Kandykorn

KANDYKORN representa un implant sofisticat dotat d'una àmplia gamma de funcionalitats dissenyades per al monitoratge, la interacció i l'evasió de la detecció. Utilitza la càrrega reflectiva, un mètode d'execució de memòria directa que pot evadir els mecanismes de detecció.

El pas inicial d'aquest procés implica un script de Python, conegut com a "watcher.py", que recupera un altre script de Python, "testSpeed.py", allotjat a Google Drive. Aquest segon script de Python actua com a comptagotes i obté un fitxer Python addicional d'un URL de Google Drive, anomenat "FinderTools".

FinderTools també serveix com a dropper, responsable de descarregar i executar una càrrega útil oculta de la segona etapa anomenada "SUGARLOADER" (situada a /Users/shared/.sld i .log). SUGARLOADER estableix posteriorment una connexió amb un servidor remot per recuperar KANDYKORN i executar-lo directament a la memòria.

SUGARLOADER assumeix un paper addicional llançant un binari basat en Swift autofirmat anomenat "HLOADER", que intenta fer-se passar per l'aplicació legítima de Discord i executar ".log" (és a dir, SUGARLOADER) per aconseguir la persistència mitjançant una tècnica coneguda com a execució. segrest de flux.

KANDYKORN, que serveix com a càrrega útil definitiva, és un troià d'accés remot (RAT) resident a la memòria amb totes les funcions amb capacitats inherents per enumerar fitxers, executar programari maliciós addicional, extreure dades, finalitzar processos i executar ordres arbitràries.

La presència de KANDYKORN subratlla els esforços continus de la RPDC, especialment a través d'entitats com el Grup Lazarus, per orientar-se a negocis relacionats amb la criptomoneda. El seu objectiu principal és robar criptomoneda per eludir les sancions internacionals que impedeixen el creixement de la seva economia i aspiracions.