Kandykorn Malware

A Koreai Népi Demokratikus Köztársaság (KNDK) kormánya által támogatott kibertámadókról bebizonyosodott, hogy a Discord üzenetküldő platformon keresztül egy meg nem határozott kriptovaluta csereplatformhoz kapcsolódó blokklánc-szakértőket céloznak meg. Egy új, KANDYKORN nevű macOS kártevőt alkalmaztak. Ez a fenyegető művelet 2023 áprilisáig vezethető vissza, és hasonlóságot mutat a Lazarus Group néven ismert hírhedt hackercsoporttal, amint azt a hálózati infrastruktúra és az alkalmazott taktikák vizsgálata is jelzi.

A támadók egy Python-alkalmazás segítségével csábították el a blokklánc-szakembereket, hogy megvegyék a kezdeti támaszt a megcélzott környezetben. A behatolás több bonyolult fázisból állt, amelyek mindegyike szándékos technikákat tartalmazott az észlelés elkerülésére és a biztonsági intézkedések megkerülésére.

A fenyegető szereplők szociális mérnöki csalikat használtak a Kandykorn kártevő telepítéséhez

A Lazarus csoport működése során a macOS kártevőket nem új keletű fejlemény. Az elmúlt évben megfigyelték, hogy ez a fenyegető szereplő egy manipulált PDF-alkalmazást terjesztett, ami végül a RustBucket, az AppleScript-alapú háttérajtó telepítéséhez vezetett. A RustBucket képes volt lekérni egy második lépcsős rakományt egy távoli szerverről.

Ami megkülönbözteti az új kampányt, az a támadó taktikája, hogy blokklánc-mérnöknek adja ki magát egy nyilvános Discord-szerveren, és social engineering technikákat alkalmaz, hogy az áldozatokat rosszindulatú kódot tartalmazó ZIP-archívum letöltésére és végrehajtására csalja meg.

Az áldozatokkal elhitetik, hogy egy arbitrázsbotot telepítenek, egy olyan szoftvereszközt, amely képes kihasználni a platformok közötti kriptovaluta-árfolyamok különbségeit profitszerzés céljából. A valóságban ez a megtévesztő folyamat alapozza meg a KANDYKORN átadását, amely öt szakaszból áll.

A többlépcsős fertőzési lánc elősegíti a Kandykorn malware fertőzést

A KANDYKORN egy kifinomult implantátum, amely a funkciók széles skálájával rendelkezik, amelyeket a megfigyelésre, interakcióra és az észlelés elkerülésére terveztek. Reflexiós terhelést alkalmaz, amely a közvetlen memóriás végrehajtás olyan módszere, amely potenciálisan kijátssza az észlelési mechanizmusokat.

A folyamat kezdeti lépése egy Python-szkript, a „watcher.py” néven ismert, amely egy másik Python-szkriptet, a „testSpeed.py”-t, a Google Drive-on tárolja. Ez a második Python-szkript csepegtetőként működik, és egy további Python-fájlt tölt le a Google Drive URL-jéről, „FinderTools” néven.

A FinderTools egyben dropperként is szolgál, amely egy rejtett, második fázisú, „SUGARLOADER” néven említett hasznos adat letöltéséért és végrehajtásáért felelős (a /Users/shared/.sld és .log címen). A SUGARLOADER ezt követően kapcsolatot létesít egy távoli szerverrel a KANDYKORN lekéréséhez és közvetlenül a memóriában való végrehajtásához.

A SUGARLOADER további szerepet tölt be azzal, hogy elindítja a „HLOADER” nevű, önaláírt Swift-alapú bináris fájlt, amely megpróbálja legitim Discord-alkalmazásnak álcázni magát, és végrehajtja a „.log” (azaz SUGARLOADER) fájlt, hogy a végrehajtásnak nevezett technikával elérje a tartósságot. áramlás-eltérítés.

A KANDYKORN, amely a végső rakományként szolgál, egy teljes értékű, memóriában rezidens Remote Access Trojan (RAT), amely magában foglalja a fájlok felsorolását, a kiegészítő rosszindulatú programok futtatását, az adatok kiszűrését, a folyamatok leállítását és tetszőleges parancsok végrehajtását.

A KANDYKORN jelenléte alátámasztja a KNDK folyamatos erőfeszítéseit, különösen az olyan entitásokon keresztül, mint a Lazarus Group, hogy megcélozza a kriptovalutákkal kapcsolatos vállalkozásokat. Elsődleges céljuk a kriptovaluta ellopása a gazdaságuk növekedését és törekvéseiket akadályozó nemzetközi szankciók megkerülése érdekében.