Kandykorn Malware

डेमोक्रेटिक पीपुल्स रिपब्लिक ऑफ कोरिया (डीपीआरके) की सरकार द्वारा समर्थित साइबर हमलावरों की पहचान मैसेजिंग प्लेटफॉर्म डिस्कॉर्ड के माध्यम से एक अनिर्दिष्ट क्रिप्टोकरेंसी एक्सचेंज प्लेटफॉर्म से जुड़े ब्लॉकचेन विशेषज्ञों को लक्षित करने के रूप में की गई है। उन्होंने KANDYKORN नामक एक नया macOS मैलवेयर नियोजित किया है। इस धमकी भरे ऑपरेशन का पता अप्रैल 2023 में लगाया जा सकता है और यह कुख्यात हैकिंग समूह, जिसे Lazarus Group के नाम से जाना जाता है, के साथ समानताएं साझा करता है, जैसा कि नेटवर्क के बुनियादी ढांचे और उपयोग की जाने वाली रणनीति की जांच से संकेत मिलता है।

हमलावरों ने लक्षित वातावरण में प्रारंभिक पकड़ स्थापित करने के लिए पायथन एप्लिकेशन का उपयोग करके ब्लॉकचेन पेशेवरों को लुभाया। घुसपैठ में कई जटिल चरण शामिल थे, जिनमें से प्रत्येक में पहचान से बचने और सुरक्षा उपायों को बायपास करने के लिए जानबूझकर की गई तकनीकों को शामिल किया गया था।

Kandykorn Malware को तैनात करने के लिए थ्रेट एक्टर्स ने सोशल-इंजीनियरिंग लालच का इस्तेमाल किया

लाजर समूह द्वारा अपने संचालन में macOS मैलवेयर का उपयोग कोई हालिया विकास नहीं है। पिछले वर्ष में, इस धमकी देने वाले अभिनेता को एक छेड़छाड़ किए गए पीडीएफ एप्लिकेशन का प्रसार करते हुए देखा गया था, जिसके परिणामस्वरूप अंततः ऐप्पलस्क्रिप्ट पर आधारित एक बैकडोर, रस्टबकेट की तैनाती हुई। रस्टबकेट में दूरस्थ सर्वर से दूसरे चरण के पेलोड को पुनः प्राप्त करने की क्षमता थी।

नए अभियान में जो बात अलग है वह सार्वजनिक डिस्कॉर्ड सर्वर पर ब्लॉकचेन इंजीनियरों के रूप में खुद को पेश करने और पीड़ितों को दुर्भावनापूर्ण कोड वाले ज़िप संग्रह को डाउनलोड करने और निष्पादित करने के लिए धोखा देने के लिए सोशल इंजीनियरिंग तकनीकों को नियोजित करने की हमलावर की रणनीति है।

पीड़ितों को यह विश्वास दिलाया जाता है कि वे एक आर्बिट्रेज बॉट स्थापित कर रहे हैं, एक सॉफ्टवेयर टूल जो लाभ के लिए विभिन्न प्लेटफार्मों पर क्रिप्टोकरेंसी दरों में अंतर का फायदा उठा सकता है। वास्तव में, यह भ्रामक प्रक्रिया कैंडीकोर्न की डिलीवरी के लिए मंच तैयार करती है, जो पांच चरणों की प्रगति के माध्यम से सामने आती है।

एक मल्टी-स्टेज संक्रमण श्रृंखला कैंडीकोर्न मैलवेयर संक्रमण की सुविधा प्रदान करती है

KANDYKORN एक परिष्कृत इम्प्लांट का प्रतिनिधित्व करता है जो निगरानी, बातचीत और पहचान से बचने के लिए डिज़ाइन की गई कार्यात्मकताओं की एक विस्तृत श्रृंखला से संपन्न है। यह रिफ्लेक्टिव लोडिंग को नियोजित करता है, जो प्रत्यक्ष-मेमोरी निष्पादन की एक विधि है जो संभावित रूप से पहचान तंत्र से बच सकती है।

इस प्रक्रिया के प्रारंभिक चरण में एक पायथन स्क्रिप्ट शामिल है, जिसे 'watcher.py' के नाम से जाना जाता है, जो Google ड्राइव पर होस्ट की गई एक अन्य पायथन स्क्रिप्ट, 'testSpeed.py' को पुनः प्राप्त करती है। यह दूसरी पायथन स्क्रिप्ट एक ड्रॉपर के रूप में कार्य करती है और Google ड्राइव URL से एक अतिरिक्त पायथन फ़ाइल लाती है, जिसका नाम 'फाइंडरटूल्स' है।

फाइंडरटूल्स एक ड्रॉपर के रूप में भी कार्य करता है, जो 'शुगरलोडर' (/Users/shared/.sld और .log पर स्थित) नामक एक छिपे हुए दूसरे चरण के पेलोड को डाउनलोड करने और निष्पादित करने के लिए जिम्मेदार है। SUGARLOADER बाद में KANDYKORN को पुनः प्राप्त करने और इसे सीधे मेमोरी में निष्पादित करने के लिए एक दूरस्थ सर्वर के साथ एक कनेक्शन स्थापित करता है।

SUGARLOADER 'HLOADER' नामक एक स्व-हस्ताक्षरित स्विफ्ट-आधारित बाइनरी लॉन्च करके एक अतिरिक्त भूमिका निभाता है, जो वैध डिस्कोर्ड एप्लिकेशन के रूप में सामने आने का प्रयास करता है और निष्पादन नामक तकनीक के माध्यम से दृढ़ता प्राप्त करने के लिए '.log' (यानी, SUGARLOADER) को निष्पादित करता है। प्रवाह अपहरण.

KANDYKORN, अंतिम पेलोड के रूप में कार्य करता है, एक पूरी तरह से चित्रित मेमोरी-रेजिडेंट रिमोट एक्सेस ट्रोजन (RAT) है जिसमें फ़ाइल गणना, पूरक मैलवेयर चलाने, डेटा को बाहर निकालने, प्रक्रियाओं को समाप्त करने और मनमाने आदेशों को निष्पादित करने की अंतर्निहित क्षमताएं हैं।

KANDYKORN की उपस्थिति क्रिप्टोकरेंसी से संबंधित व्यवसायों को लक्षित करने के लिए, विशेष रूप से लाजर समूह जैसी संस्थाओं के माध्यम से, डीपीआरके के निरंतर प्रयासों को रेखांकित करती है। उनका प्राथमिक उद्देश्य अंतरराष्ट्रीय प्रतिबंधों से बचने के लिए क्रिप्टोकरेंसी चुराना है जो उनकी अर्थव्यवस्था और आकांक्षाओं के विकास में बाधा डालते हैं।