Kandykorn Malware

תוקפי סייבר הנתמכים על ידי ממשלת הרפובליקה העממית הדמוקרטית של קוריאה (DPRK) זוהו כמכוונים למומחי בלוקצ'יין הקשורים לפלטפורמת החלפת מטבעות קריפטוגרפיים לא מוגדרת באמצעות פלטפורמת ההודעות Discord. הם השתמשו בתוכנה זדונית חדשה של macOS בשם KANDYKORN. ניתן לאתר את הפעולה המאיימת הזו לאפריל 2023 והיא חולקת קווי דמיון עם קבוצת הפריצה הידועה לשמצה הידועה בשם Lazarus Group , כפי שעולה מבדיקה של תשתית הרשת והטקטיקות בהן נעשה שימוש.

התוקפים פיתו אנשי מקצוע בתחום הבלוקצ'יין באמצעות אפליקציית Python כדי ליצור דריסת רגל ראשונית בתוך הסביבה הממוקדת. החדירה כללה מספר שלבים מורכבים, כאשר כל אחד מהם משלב טכניקות מכוונות להתחמק מגילוי ולעקוף אמצעי אבטחה.

שחקני האיום השתמשו בפיתויים חברתיים-הנדסיים כדי לפרוס את תוכנת קנדיקורן

השימוש של קבוצת Lazarus בתוכנות זדוניות של macOS בפעולותיה אינו התפתחות עדכנית. בשנה האחרונה נצפה שחקן האיום הזה מפיץ אפליקציית PDF מבולבלת, מה שהוביל בסופו של דבר לפריסה של RustBucket, דלת אחורית המבוססת על AppleScript. ל- RustBucket הייתה היכולת לאחזר מטען שלב שני משרת מרוחק.

מה שמייחד את הקמפיין החדש הוא הטקטיקה של התוקף להתחזות למהנדסי בלוקצ'יין בשרת דיסקורד ציבורי ולהשתמש בטכניקות הנדסה חברתית כדי להונות קורבנות כדי להוריד ולהוציא לפועל ארכיון ZIP המכיל קוד זדוני.

הקורבנות גורמים להאמין שהם מתקינים בוט ארביטראז', כלי תוכנה שיכול לנצל הבדלים בשיעורי מטבעות קריפטוגרפיים בין פלטפורמות למטרות רווח. במציאות, תהליך מטעה זה מכין את הבמה למסירה של KANDYKORN, שמתגלגלת בהתקדמות של חמישה שלבים.

שרשרת זיהומים רב-שלבית מקלה על הדבקה בתוכנה זדונית של Kandykorn

KANDYKORN מייצג שתל מתוחכם הניחן במגוון רחב של פונקציות המיועדות לניטור, אינטראקציה והתחמקות מגילוי. הוא משתמש בטעינה רפלקטיבית, שיטה לביצוע זיכרון ישיר שיכולה לחמוק ממנגנוני זיהוי.

השלב הראשוני בתהליך זה כולל סקריפט Python, המכונה 'watcher.py', המאחזר סקריפט אחר של Python, 'testSpeed.py' המתארח ב-Google Drive. הסקריפט השני של Python פועל כמטפטף ומביא קובץ Python נוסף מכתובת אתר של Google Drive, בשם 'FinderTools'.

FinderTools משמש גם כמטפטף, האחראי על הורדה וביצוע של מטען נסתר בשלב שני המכונה 'SUGARLOADER' (נמצא ב-/Users/shared/.sld ו-.log). SUGARLOADER יוצר לאחר מכן חיבור עם שרת מרוחק כדי לאחזר את KANDYKORN ולהפעיל אותו ישירות בזיכרון.

SUGARLOADER לוקח על עצמו תפקיד נוסף על ידי השקת בינארי מבוסס Swift בחתימה עצמית בשם 'HLOADER', המנסה להתחזות לאפליקציית Discord הלגיטימית ולהפעיל '.log' (כלומר, SUGARLOADER) כדי להשיג התמדה באמצעות טכניקה המכונה ביצוע. חטיפת זרימה.

KANDYKORN, המשמש כמטען האולטימטיבי, הוא טרויאני עם גישה מרחוק (RAT) בעלת תכונות מלאות של זיכרון עם יכולות אינהרנטיות לספירת קבצים, הפעלת תוכנות זדוניות משלימות, חילוץ נתונים, סיום תהליכים וביצוע פקודות שרירותיות.

הנוכחות של KANDYKORN מדגישה את המאמצים המתמשכים של DPRK, במיוחד באמצעות ישויות כמו קבוצת Lazarus, לכוון לעסקים הקשורים למטבעות קריפטוגרפיים. המטרה העיקרית שלהם היא לגנוב מטבעות קריפטוגרפיים כדי לעקוף סנקציות בינלאומיות שמעכבות את צמיחת הכלכלה והשאיפות שלהם.