تخفیف چند مجوز
Threat Database Malware بدافزار Kandykorn

بدافزار Kandykorn

تا Mezo در Malware, Advanced Persistent Threat (APT), Remote Administration Tools
ترجمه به:
فارسی

مهاجمان سایبری تحت حمایت دولت جمهوری دموکراتیک خلق کره (DPRK) به عنوان هدف قرار دادن متخصصان بلاک چین مرتبط با یک پلت فرم مبادله ارزهای دیجیتال نامشخص از طریق پلت فرم پیام رسانی Discord شناسایی شده اند. آنها از یک بدافزار جدید macOS به نام KANDYKORN استفاده کرده اند. این عملیات تهدیدآمیز را می‌توان تا آوریل 2023 ردیابی کرد و شباهت‌هایی با گروه هک بدنام معروف به گروه لازاروس دارد، همانطور که با بررسی زیرساخت‌های شبکه و تاکتیک‌های مورد استفاده نشان می‌دهد.

مهاجمان متخصصان بلاک چین را با استفاده از یک برنامه پایتون برای ایجاد جایگاه اولیه در محیط مورد نظر جذب کردند. این نفوذ شامل چندین مرحله پیچیده بود که هر یک از آنها تکنیک‌های عمدی برای فرار از شناسایی و دور زدن اقدامات امنیتی را در بر می‌گرفت.

بازیگران تهدید از فریب های مهندسی اجتماعی برای استقرار بدافزار Kandykorn استفاده کردند

استفاده گروه لازاروس از بدافزار macOS در عملیات خود یک پیشرفت اخیر نیست. در سال گذشته، این عامل تهدید در حال انتشار یک برنامه PDF دستکاری شده مشاهده شد که در نهایت منجر به استقرار RustBucket، یک درب پشتی مبتنی بر AppleScript شد. RustBucket این قابلیت را داشت که یک بار مرحله دوم را از یک سرور راه دور بازیابی کند.

چیزی که کمپین جدید را متمایز می کند، تاکتیک مهاجم در ظاهر شدن به عنوان مهندسان بلاک چین در سرور عمومی Discord و استفاده از تکنیک های مهندسی اجتماعی برای فریب قربانیان برای دانلود و اجرای آرشیو ZIP حاوی کدهای مخرب است.

قربانیان این باور را ایجاد می‌کنند که یک ربات آربیتراژ نصب می‌کنند، ابزار نرم‌افزاری که می‌تواند از تفاوت‌ها در نرخ ارزهای دیجیتال در پلتفرم‌ها برای سود بهره‌برداری کند. در واقعیت، این فرآیند فریبنده زمینه را برای تحویل KANDYKORN فراهم می‌کند که از طریق یک پیشرفت پنج مرحله‌ای آشکار می‌شود.

یک زنجیره عفونت چند مرحله ای، عفونت بدافزار Kandykorn را تسهیل می کند

KANDYKORN نشان دهنده یک ایمپلنت پیچیده است که با طیف گسترده ای از عملکردها برای نظارت، تعامل و فرار از تشخیص طراحی شده است. از بارگذاری بازتابی استفاده می کند، روشی برای اجرای حافظه مستقیم که به طور بالقوه می تواند از مکانیسم های تشخیص فرار کند.

مرحله اولیه در این فرآیند شامل یک اسکریپت پایتون، معروف به "watcher.py" است که اسکریپت پایتون دیگری، "testSpeed.py" را که در Google Drive میزبانی شده است، بازیابی می کند. این اسکریپت دوم پایتون به عنوان یک قطره چکان عمل می کند و یک فایل پایتون اضافی را از URL گوگل درایو به نام "FinderTools" واکشی می کند.

FinderTools همچنین به عنوان یک قطره چکان عمل می کند و مسئول دانلود و اجرای یک بار مخفی مرحله دوم به نام "SUGARLOADER" (واقع در /Users/shared/.sld و .log) است. SUGARLOADER متعاقباً با یک سرور راه دور ارتباط برقرار می کند تا KANDYKORN را بازیابی کرده و مستقیماً در حافظه اجرا کند.

SUGARLOADER با راه‌اندازی یک باینری مبتنی بر سوئیفت با امضای خود به نام «HLOADER» که تلاش می‌کند به عنوان برنامه قانونی Discord ظاهر شود و «.log» (یعنی SUGARLOADER) را برای دستیابی به پایداری از طریق تکنیکی به نام اجرا اجرا کند، نقش دیگری بر عهده می‌گیرد. ربودن جریان

KANDYKORN که به عنوان محموله نهایی عمل می کند، یک تروجان دسترسی از راه دور (RAT) با ویژگی های کامل با قابلیت های ذاتی برای شمارش فایل ها، اجرای بدافزارهای تکمیلی، استخراج داده ها، پایان دادن به فرآیندها و اجرای دستورات دلخواه است.

حضور KANDYKORN بر تلاش های مستمر کره شمالی، به ویژه از طریق نهادهایی مانند گروه Lazarus، برای هدف قرار دادن مشاغل مرتبط با ارزهای دیجیتال تأکید می کند. هدف اصلی آنها سرقت ارزهای دیجیتال به منظور دور زدن تحریم های بین المللی است که مانع رشد اقتصاد و آرزوهای آنها می شود.

پرطرفدار

پربیننده ترین

کلاهبرداری ایمیل "جوخه گیک".

Phishing, Spam
20,600
Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...
بارگذاری...