Kandykorn Malware

Cyber napadači koje podržava vlada Demokratske Narodne Republike Koreje (DPRK) identificirani su kao ciljani stručnjaci za blockchain povezane s neodređenom platformom za razmjenu kriptovaluta putem platforme za razmjenu poruka Discord. Upotrijebili su novi zlonamjerni softver za macOS nazvan KANDYKORN. Ova prijeteća operacija može se pratiti unatrag do travnja 2023. i dijeli sličnosti s ozloglašenom hakerskom skupinom poznatom kao Lazarus Group , kao što je naznačeno ispitivanjem mrežne infrastrukture i korištenih taktika.

Napadači su privukli blockchain profesionalce koristeći Python aplikaciju da uspostave početno uporište unutar ciljanog okruženja. Upad se sastojao od više zamršenih faza, a svaka je uključivala namjerne tehnike za izbjegavanje otkrivanja i zaobilaženje sigurnosnih mjera.

Akteri prijetnje koristili su se mamcima društvenog inženjeringa za postavljanje zlonamjernog softvera Kandykorn

Korištenje macOS zlonamjernog softvera od strane grupe Lazarus u njihovim operacijama nije nedavni razvoj. U protekloj godini, ovaj akter prijetnje primijećen je kako širi neovlaštenu PDF aplikaciju, što je na kraju dovelo do implementacije RustBucketa, backdoor-a temeljenog na AppleScriptu. RustBucket je imao mogućnost dohvaćanja tereta druge faze s udaljenog poslužitelja.

Ono što razlikuje novu kampanju je taktika napadača koji se predstavlja kao blockchain inženjer na javnom Discord poslužitelju i koristi tehnike društvenog inženjeringa kako bi prevario žrtve da preuzmu i izvrše ZIP arhivu koja sadrži zlonamjerni kod.

Žrtve se natjeraju da vjeruju da instaliraju arbitražni bot, softverski alat koji može iskoristiti razlike u tečajevima kriptovaluta na različitim platformama za zaradu. U stvarnosti, ovaj varljivi proces postavlja pozornicu za isporuku KANDYKORNA, koja se odvija kroz progresiju od pet faza.

Lanac infekcije u više faza olakšava infekciju zlonamjernim softverom Kandykorn

KANDYKORN predstavlja sofisticirani implantat obdaren širokim rasponom funkcionalnosti dizajniranih za praćenje, interakciju i izbjegavanje detekcije. Koristi reflektirajuće učitavanje, metodu izvršavanja u izravnoj memoriji koja potencijalno može izbjeći mehanizme detekcije.

Početni korak u ovom procesu uključuje Python skriptu, poznatu kao 'watcher.py', koja dohvaća drugu Python skriptu, 'testSpeed.py', smještenu na Google disku. Ova druga Python skripta djeluje kao dropper i dohvaća dodatnu Python datoteku s URL-a Google diska, pod nazivom "FinderTools".

FinderTools također služi kao dropper, odgovoran za preuzimanje i izvršavanje skrivenog drugog stupnja korisnog opterećenja koje se naziva 'SUGARLOADER' (nalazi se na /Users/shared/.sld i .log). SUGARLOADER naknadno uspostavlja vezu s udaljenim poslužiteljem kako bi dohvatio KANDYKORN i izvršio ga izravno u memoriji.

SUGARLOADER preuzima dodatnu ulogu pokretanjem samopotpisane binarne datoteke temeljene na Swiftu pod nazivom 'HLOADER', koja se pokušava maskirati kao legitimna Discord aplikacija i izvršiti '.log' (tj. SUGARLOADER) kako bi se postigla postojanost kroz tehniku poznatu kao izvršenje otimanje protoka.

KANDYKORN, koji služi kao ultimativni korisni teret, potpuno je opremljen memorijski rezidentni trojanac s udaljenim pristupom (RAT) s inherentnim mogućnostima za enumeraciju datoteka, pokretanje dodatnog zlonamjernog softvera, eksfiltraciju podataka, prekidanje procesa i izvršavanje proizvoljnih naredbi.

Prisutnost KANDYKORN-a naglašava kontinuirane napore DNRK-a, posebno putem entiteta kao što je Lazarus Group, da cilja na poslove povezane s kriptovalutama. Njihov primarni cilj je ukrasti kriptovalute kako bi zaobišli međunarodne sankcije koje ometaju rast njihove ekonomije i težnji.