Kandykorn Malware

Korean demokraattisen kansantasavallan (Korean demokraattisen kansantasavallan) hallituksen tukemien kyberhyökkääjien on tunnistettu kohdistuvan Discord-viestialustan kautta lohkoketjuasiantuntijoihin, jotka liittyvät määrittelemättömään kryptovaluutanvaihtoalustaan. He ovat käyttäneet uutta macOS-haittaohjelmaa nimeltä KANDYKORN. Tämä uhkaava operaatio voidaan jäljittää huhtikuuhun 2023 asti, ja se jakaa yhtäläisyyksiä pahamaineisen hakkerointiryhmän kanssa, joka tunnetaan nimellä Lazarus Group , kuten verkkoinfrastruktuurin ja käytetyn taktiikan tarkastelu osoittaa.

Hyökkääjät houkuttelivat lohkoketjun ammattilaisia Python-sovelluksen avulla luomaan alustavan jalansijan kohdeympäristössä. Tunkeutuminen koostui useista monimutkaisista vaiheista, joista jokainen sisälsi tarkoituksellisia tekniikoita havaitsemisen välttämiseksi ja turvatoimien ohittamiseksi.

Uhkatoimijat käyttivät sosiaaliteknisiä vieheitä Kandykorn-haittaohjelman käyttöönottamiseksi

Lazarus Groupin macOS-haittaohjelmien hyödyntäminen toiminnassaan ei ole uusi kehitys. Kuluneen vuoden aikana tämän uhkatekijän havaittiin levittävän peukaloitua PDF-sovellusta, mikä johti lopulta AppleScriptiin perustuvan RustBucketin käyttöönottoon. RustBucketilla oli kyky noutaa toisen vaiheen hyötykuorma etäpalvelimelta.

Uudessa kampanjassa erottuva tekijä on hyökkääjän taktiikka esiintyä blockchain-insinööreinä julkisella Discord-palvelimella ja käyttää sosiaalisen suunnittelun tekniikoita huijatakseen uhreja lataamaan ja suorittamaan haitallista koodia sisältävän ZIP-arkiston.

Uhrit saatetaan uskomaan, että he asentavat arbitraasibotin, ohjelmistotyökalun, joka voi hyödyntää kryptovaluuttakurssien eroja eri alustojen välillä voittoa tavoittelemassa. Todellisuudessa tämä petollinen prosessi asettaa alustan KANDYKORNin toimitukselle, joka etenee viisivaiheisena.

Monivaiheinen infektioketju helpottaa Kandykorn-haittaohjelmatartuntaa

KANDYKORN edustaa kehittynyttä implanttia, jossa on laaja valikoima toimintoja, jotka on suunniteltu seurantaan, vuorovaikutukseen ja havaitsemisen välttämiseen. Se käyttää heijastavaa latausta, suoran muistin suoritusmenetelmää, joka voi mahdollisesti kiertää tunnistusmekanismeja.

Prosessin ensimmäinen vaihe sisältää Python-komentosarjan, joka tunnetaan nimellä "watcher.py", joka hakee toisen Python-skriptin, "testSpeed.py", joka on Google Drivessa. Tämä toinen Python-skripti toimii dropperina ja hakee ylimääräisen Python-tiedoston Google Driven URL-osoitteesta nimeltä "FinderTools".

FinderTools toimii myös dropperina, joka vastaa piilotetun toisen vaiheen hyötykuorman lataamisesta ja suorittamisesta, jota kutsutaan nimellä "SUGARLOADER" (sijaitsee osoitteissa /Users/shared/.sld ja .log). SUGARLOADER muodostaa tämän jälkeen yhteyden etäpalvelimeen hakeakseen KANDYKORNin ja suorittaakseen sen suoraan muistissa.

SUGARLOADER ottaa lisäroolin käynnistämällä itse allekirjoitetun Swift-pohjaisen binaarin nimeltä "HLOADER", joka yrittää naamioitua lailliseksi Discord-sovellukseksi ja suorittaa ".log"-tiedoston (eli SUGARLOADERin) saavuttaakseen pysyvyyttä suoritustekniikalla tunnetun tekniikan avulla. virtauksen kaappaus.

KANDYKORN, joka toimii äärimmäisenä hyötykuormana, on täysin varusteltu muistissa oleva etäkäyttötroijalainen (RAT), jolla on luontaiset ominaisuudet tiedostojen luetteloimiseen, lisähaittaohjelmien suorittamiseen, tietojen suodattamiseen, prosessien lopettamiseen ja mielivaltaisten komentojen suorittamiseen.

KANDYKORNin läsnäolo korostaa Pohjois-Korean jatkuvia ponnisteluja erityisesti Lazarus Groupin kaltaisten tahojen kautta kryptovaluuttoihin liittyvien yritysten kohdistamiseksi. Heidän ensisijaisena tavoitteenaan on varastaa kryptovaluuttoja kiertääkseen kansainväliset pakotteet, jotka estävät heidän talouden kasvuaan ja pyrkimyksiään.