Kandykorn malware

Bylo zjištěno, že kybernetičtí útočníci podporovaní vládou Korejské lidově demokratické republiky (KLDR) se zaměřují na experty na blockchain spojené s blíže nespecifikovanou platformou pro výměnu kryptoměn prostřednictvím platformy pro zasílání zpráv Discord. Použili nový malware pro macOS s názvem KANDYKORN. Tuto hrozivou operaci lze vysledovat až do dubna 2023 a sdílí podobnosti s notoricky známou hackerskou skupinou známou jako Lazarus Group , jak naznačuje zkoumání síťové infrastruktury a použité taktiky.

Útočníci nalákali profesionály na blockchain pomocí aplikace Python, aby vytvořili počáteční oporu v cílovém prostředí. Narušení sestávalo z několika složitých fází, přičemž každá z nich zahrnovala záměrné techniky, jak se vyhnout detekci a obejít bezpečnostní opatření.

The Threat Actors využili návnady sociálního inženýrství k nasazení malwaru Kandykorn

Využití malwaru macOS společností Lazarus Group ve svých operacích není novinkou. V minulém roce byl tento aktér hrozeb pozorován při šíření zfalšované PDF aplikace, což nakonec vedlo k nasazení RustBucket, backdooru založeného na AppleScriptu. RustBucket měl schopnost načíst datovou část druhé fáze ze vzdáleného serveru.

To, co odlišuje novou kampaň, je útočníkova taktika vydávat se za blockchainové inženýry na veřejném serveru Discord a využívat techniky sociálního inženýrství k oklamání obětí, aby si stáhly a spustily ZIP archiv obsahující škodlivý kód.

Oběti jsou nuceny věřit, že instalují arbitrážního bota, softwarový nástroj, který může využívat rozdíly v kurzech kryptoměn napříč platformami za účelem zisku. Ve skutečnosti tento klamný proces připravuje půdu pro dodávku KANDYKORN, která se odvíjí v pěti fázích.

Vícefázový infekční řetězec usnadňuje infekci Kandykorn Malware

KANDYKORN představuje sofistikovaný implantát vybavený širokou škálou funkcí určených pro monitorování, interakci a vyhýbání se detekci. Využívá reflexní zatížení, metodu spouštění z přímé paměti, která může potenciálně uniknout detekčním mechanismům.

Počáteční krok v tomto procesu zahrnuje skript Python, známý jako 'watcher.py', který načte další skript Pythonu, 'testSpeed.py' hostovaný na Disku Google. Tento druhý skript Pythonu funguje jako kapátko a načítá další soubor Python z adresy URL Disku Google s názvem „FinderTools“.

FinderTools také slouží jako kapátko, které je zodpovědné za stahování a provádění skryté druhé fáze užitečného zatížení označované jako 'SUGARLOADER' (umístěné na /Users/shared/.sld a .log). SUGARLOADER následně naváže spojení se vzdáleným serverem, aby načetl KANDYKORN a provedl jej přímo v paměti.

SUGARLOADER přebírá další roli tím, že spouští binární soubor s vlastním podpisem na bázi Swift s názvem 'HLOADER', který se pokouší maskovat jako legitimní aplikace Discord a spouštět '.log' (tj. SUGARLOADER), aby dosáhl vytrvalosti pomocí techniky známé jako provádění. tok hijacking.

KANDYKORN, sloužící jako maximální užitečné zatížení, je plně vybavený trojan pro vzdálený přístup (RAT) rezidentní v paměti s vlastními schopnostmi pro výčet souborů, spouštění doplňkového malwaru, exfiltraci dat, ukončování procesů a provádění libovolných příkazů.

Přítomnost KANDYKORN podtrhuje neustálé úsilí KLDR, zejména prostřednictvím subjektů, jako je skupina Lazarus, zaměřit se na podniky související s kryptoměnami. Jejich primárním cílem je ukrást kryptoměnu, aby obešli mezinárodní sankce, které brání růstu jejich ekonomiky a aspirací.