Kandykorn Malware

On tuvastatud, et Korea Rahvademokraatliku Vabariigi (KRDV) valitsuse toetatud küberründajad sihivad sõnumsideplatvormi Discord kaudu plokiahela eksperte, kes on seotud määratlemata krüptovaluutavahetusplatvormiga. Nad on kasutanud uut macOS-i pahavara nimega KANDYKORN. See ähvardav operatsioon pärineb 2023. aasta aprillist ja sellel on sarnasusi kurikuulsa häkkimisgrupiga, mida tuntakse Lazaruse grupina , nagu näitas võrgu infrastruktuuri ja kasutatud taktika uurimine.

Ründajad meelitasid plokiahela professionaale Pythoni rakenduse abil, et luua sihtkeskkonnas esialgne tugipunkt. Sissetungimine koosnes mitmest keerulisest faasist, millest igaüks sisaldas tahtlikke tehnikaid avastamisest kõrvalehoidmiseks ja turvameetmetest möödahiilimiseks.

Ohunäitlejad kasutasid Kandykorni pahavara juurutamiseks sotsiaalseid peibutusi

Lazaruse grupi MacOS-i pahavara kasutamine oma tegevuses ei ole hiljutine areng. Möödunud aastal täheldati, et see ohutegija levitas rikutud PDF-rakendust, mis viis lõpuks AppleScriptil põhineva tagaukse RustBucketi juurutamiseni. RustBucket oli võimeline kaugserverist teise astme kasulikku koormust hankima.

Uut kampaaniat eristab ründaja taktika esineda avalikus Discordi serveris plokiahela inseneridena ja kasutada sotsiaalse inseneride tehnikaid, et petta ohvreid, et nad laadiksid alla ja käivitaksid pahatahtlikku koodi sisaldava ZIP-arhiivi.

Ohvrid on pandud uskuma, et nad installivad arbitraažiroti – tarkvaratööriista, mis saab kasumi saamiseks ära kasutada krüptovaluutade kursside erinevusi platvormide lõikes. Tegelikkuses paneb see petlik protsess aluse KANDYKORNi tarnimisele, mis areneb viieetapilise edenemise kaudu.

Mitmeastmeline nakkusahel hõlbustab Kandykorni pahavara nakatumist

KANDYKORN kujutab endast keerukat implantaati, millel on lai valik funktsioone, mis on loodud jälgimiseks, suhtlemiseks ja tuvastamisest kõrvalehoidmiseks. See kasutab peegeldavat laadimist, otsemälu täitmismeetodit, mis võib potentsiaalselt vältida tuvastamismehhanisme.

Selle protsessi esimene samm hõlmab Pythoni skripti, mida tuntakse kui "watcher.py", mis hangib Google Drive'is hostitud teise Pythoni skripti "testSpeed.py". See teine Pythoni skript toimib tilgutajana ja toob Google Drive'i URL-ilt täiendava Pythoni faili nimega "FinderTools".

FinderTools toimib ka tilgutajana, vastutades varjatud teise astme kasuliku koormuse allalaadimise ja täitmise eest, mida nimetatakse SUGARLOADERiks (asub aadressil /Users/shared/.sld ja .log). Seejärel loob SUGARLOADER ühenduse kaugserveriga, et hankida KANDYKORN ja käivitada see otse mällu.

SUGARLOADER võtab endale lisarolli, käivitades iseallkirjastatud Swiftil põhineva binaarfaili nimega 'HLOADER', mis üritab maskeeruda legitiimseks Discordi rakenduseks ja käivitada '.log' (st SUGARLOADER), et saavutada püsivus täitmistehnika abil. voolu kaaperdamine.

KANDYKORN, mis toimib ülima kasuliku koormana, on täisfunktsionaalne mälus püsiv kaugjuurdepääsu troojalane (RAT), millel on loomupärased võimalused failide loendamiseks, täiendava pahavara käitamiseks, andmete väljafiltreerimiseks, protsesside lõpetamiseks ja suvaliste käskude täitmiseks.

KANDYKORNi kohalolek rõhutab KRDV pidevaid jõupingutusi, eriti selliste üksuste kaudu nagu Lazarus Group, et suunata krüptorahaga seotud ettevõtteid. Nende esmane eesmärk on varastada krüptovaluutat, et hoida mööda rahvusvahelistest sanktsioonidest, mis takistavad nende majanduse kasvu ja püüdlusi.