Kandykorn Malware

Cyberangribere støttet af regeringen i Den Demokratiske Folkerepublik Korea (DPRK) er blevet identificeret som målrettet mod blockchain-eksperter forbundet med en uspecificeret cryptocurrency-udvekslingsplatform gennem meddelelsesplatformen Discord. De har brugt en ny macOS malware kaldet KANDYKORN. Denne truende operation kan spores tilbage til april 2023 og deler ligheder med den berygtede hackergruppe kendt som Lazarus Group , som indikeret af en undersøgelse af netværksinfrastrukturen og den anvendte taktik.

Angriberne lokkede blockchain-professionelle ved at bruge en Python-applikation til at etablere et indledende fodfæste i det målrettede miljø. Indtrængen bestod af flere indviklede faser, hvor hver enkelt inkorporerede bevidste teknikker til at undgå opdagelse og omgå sikkerhedsforanstaltninger.

The Threat Actors brugte social-engineering lokkemidler til at implementere Kandykorn Malware

Lazarus Groups brug af macOS malware i deres operationer er ikke en nylig udvikling. I det seneste år blev denne trusselsaktør observeret sprede en manipuleret PDF-applikation, hvilket til sidst førte til udrulningen af RustBucket, en bagdør baseret på AppleScript. RustBucket havde evnen til at hente en anden trins nyttelast fra en fjernserver.

Det, der kendetegner den nye kampagne, er angriberens taktik med at udgive sig som blockchain-ingeniører på en offentlig Discord-server og anvende social engineering-teknikker til at bedrage ofrene til at downloade og udføre et ZIP-arkiv, der indeholder ondsindet kode.

Ofrene får man til at tro, at de installerer en arbitrage-bot, et softwareværktøj, der kan udnytte forskelle i kryptovalutakurser på tværs af platforme til profit. I virkeligheden sætter denne vildledende proces scenen for leveringen af KANDYKORN, som udfolder sig gennem en fem-trins progression.

En flertrins infektionskæde letter Kandykorn Malware-infektionen

KANDYKORN repræsenterer et sofistikeret implantat udstyret med en bred vifte af funktionaliteter designet til overvågning, interaktion og unddragelse af detektion. Den anvender reflekterende belastning, en metode til udførelse af direkte hukommelse, der potentielt kan unddrage sig detekteringsmekanismer.

Det indledende trin i denne proces involverer et Python-script, kendt som 'watcher.py', som henter et andet Python-script, 'testSpeed.py', der er hostet på Google Drev. Dette andet Python-script fungerer som en dropper og henter en ekstra Python-fil fra en Google Drev-URL, kaldet 'FinderTools'.

FinderTools fungerer også som en dropper, ansvarlig for at downloade og udføre en skjult nyttelast i andet trin kaldet 'SUGARLOADER' (placeret på /Users/shared/.sld og .log). SUGARLOADER etablerer efterfølgende en forbindelse med en ekstern server for at hente KANDYKORN og udføre den direkte i hukommelsen.

SUGARLOADER påtager sig en ekstra rolle ved at lancere en selvsigneret Swift-baseret binær kaldet 'HLOADER', som forsøger at udgive sig som den legitime Discord-applikation og udføre '.log' (dvs. SUGARLOADER) for at opnå vedholdenhed gennem en teknik kendt som execution flowkapring.

KANDYKORN, der fungerer som den ultimative nyttelast, er en fuldt udstyret hukommelsesresident Remote Access Trojan (RAT) med iboende muligheder for filoptælling, kørsel af supplerende malware, eksfiltrering af data, afslutning af processer og udførelse af vilkårlige kommandoer.

Tilstedeværelsen af KANDYKORN understreger DPRK's fortsatte bestræbelser, især gennem enheder som Lazarus Group, for at målrette mod kryptovaluta-relaterede virksomheder. Deres primære mål er at stjæle kryptovaluta for at omgå internationale sanktioner, der hæmmer væksten i deres økonomi og forhåbninger.