Κακόβουλο λογισμικό Kandykorn
Οι επιτιθέμενοι στον κυβερνοχώρο που υποστηρίζονται από την κυβέρνηση της Λαϊκής Δημοκρατίας της Κορέας (ΛΔΚ) έχουν αναγνωριστεί ότι στοχεύουν εμπειρογνώμονες blockchain που σχετίζονται με μια απροσδιόριστη πλατφόρμα ανταλλαγής κρυπτονομισμάτων μέσω της πλατφόρμας ανταλλαγής μηνυμάτων Discord. Έχουν χρησιμοποιήσει ένα νέο κακόβουλο λογισμικό macOS που ονομάζεται KANDYKORN. Αυτή η απειλητική επιχείρηση μπορεί να εντοπιστεί από τον Απρίλιο του 2023 και μοιράζεται ομοιότητες με την περιβόητη ομάδα hacking γνωστή ως Lazarus Group , όπως υποδεικνύεται από μια εξέταση της υποδομής δικτύου και των τακτικών που χρησιμοποιήθηκαν.
Οι εισβολείς δελέασαν τους επαγγελματίες του blockchain χρησιμοποιώντας μια εφαρμογή Python για να δημιουργήσουν μια αρχική βάση στο στοχευμένο περιβάλλον. Η εισβολή αποτελούνταν από πολλές περίπλοκες φάσεις, με κάθε μία να ενσωματώνει σκόπιμες τεχνικές για την αποφυγή του εντοπισμού και την παράκαμψη των μέτρων ασφαλείας.
Οι ηθοποιοί της απειλής χρησιμοποίησαν δολώματα κοινωνικής μηχανικής για να αναπτύξουν το κακόβουλο λογισμικό Kandykorn
Η χρήση κακόβουλου λογισμικού macOS από τον Όμιλο Lazarus στις δραστηριότητές του δεν είναι πρόσφατη εξέλιξη. Τον περασμένο χρόνο, αυτός ο παράγοντας απειλής παρατηρήθηκε να διαδίδει μια παραποιημένη εφαρμογή PDF, η οποία τελικά οδήγησε στην ανάπτυξη του RustBucket, ενός backdoor που βασίζεται στο AppleScript. Το RustBucket είχε τη δυνατότητα να ανακτήσει ένα ωφέλιμο φορτίο δεύτερου σταδίου από έναν απομακρυσμένο διακομιστή.
Αυτό που διακρίνει τη νέα καμπάνια είναι η τακτική του εισβολέα να παρουσιάζεται ως μηχανικοί blockchain σε έναν δημόσιο διακομιστή Discord και να χρησιμοποιεί τεχνικές κοινωνικής μηχανικής για να εξαπατήσει τα θύματα να κατεβάσουν και να εκτελέσουν ένα αρχείο ZIP που περιέχει κακόβουλο κώδικα.
Τα θύματα πιστεύουν ότι εγκαθιστούν ένα ρομπότ arbitrage, ένα εργαλείο λογισμικού που μπορεί να εκμεταλλευτεί τις διαφορές στις τιμές κρυπτονομισμάτων μεταξύ των πλατφορμών για κέρδος. Στην πραγματικότητα, αυτή η παραπλανητική διαδικασία θέτει τις βάσεις για την παράδοση του KANDYKORN, το οποίο ξετυλίγεται μέσα από μια εξέλιξη πέντε σταδίων.
Μια αλυσίδα μόλυνσης πολλαπλών σταδίων διευκολύνει τη μόλυνση από κακόβουλο λογισμικό Kandykorn
Το KANDYKORN αντιπροσωπεύει ένα εξελιγμένο εμφύτευμα προικισμένο με ένα ευρύ φάσμα λειτουργιών που έχουν σχεδιαστεί για παρακολούθηση, αλληλεπίδραση και αποφυγή ανίχνευσης. Χρησιμοποιεί ανακλαστική φόρτωση, μια μέθοδο εκτέλεσης απευθείας μνήμης που μπορεί ενδεχομένως να αποφύγει τους μηχανισμούς ανίχνευσης.
Το αρχικό βήμα σε αυτήν τη διαδικασία περιλαμβάνει ένα σενάριο Python, γνωστό ως «watcher.py», το οποίο ανακτά ένα άλλο σενάριο Python, το «testSpeed.py», που φιλοξενείται στο Google Drive. Αυτό το δεύτερο σενάριο Python λειτουργεί ως dropper και ανακτά ένα πρόσθετο αρχείο Python από μια διεύθυνση URL του Google Drive, που ονομάζεται "FinderTools".
Το FinderTools χρησιμεύει επίσης ως dropper, υπεύθυνο για τη λήψη και την εκτέλεση ενός κρυφού ωφέλιμου φορτίου δεύτερου σταδίου που αναφέρεται ως "SUGARLOADER" (βρίσκεται στο /Users/shared/.sld και .log). Το SUGARLOADER στη συνέχεια δημιουργεί μια σύνδεση με έναν απομακρυσμένο διακομιστή για να ανακτήσει το KANDYKORN και να το εκτελέσει απευθείας στη μνήμη.
Το SUGARLOADER αναλαμβάνει έναν πρόσθετο ρόλο λανσάροντας ένα αυτο-υπογεγραμμένο δυαδικό αρχείο που βασίζεται στο Swift που ονομάζεται "HLOADER", το οποίο προσπαθεί να μεταμφιεστεί ως η νόμιμη εφαρμογή Discord και να εκτελέσει το ".log" (δηλ. SUGARLOADER) για να επιτύχει επιμονή μέσω μιας τεχνικής γνωστής ως εκτέλεσης αεροπειρατεία ροής.
Το KANDYKORN, που χρησιμεύει ως το απόλυτο ωφέλιμο φορτίο, είναι ένας πλήρως εξοπλισμένος με μνήμη Remote Access Trojan (RAT) με εγγενείς δυνατότητες για απαρίθμηση αρχείων, εκτέλεση συμπληρωματικού κακόβουλου λογισμικού, εξαγωγή δεδομένων, τερματισμό διεργασιών και εκτέλεση αυθαίρετων εντολών.
Η παρουσία του KANDYKORN υπογραμμίζει τις συνεχείς προσπάθειες της ΛΔΚ, ιδιαίτερα μέσω οντοτήτων όπως ο Όμιλος Lazarus, να στοχεύσει επιχειρήσεις που σχετίζονται με κρυπτονομίσματα. Ο πρωταρχικός τους στόχος είναι να κλέψουν κρυπτονομίσματα προκειμένου να παρακάμψουν τις διεθνείς κυρώσεις που εμποδίζουν την ανάπτυξη της οικονομίας και τις φιλοδοξίες τους.
