មេរោគ Kandykorn

អ្នកវាយប្រហារតាមអ៊ីនធឺណិតដែលគាំទ្រដោយរដ្ឋាភិបាលនៃសាធារណរដ្ឋប្រជាធិបតេយ្យប្រជាមានិតកូរ៉េ (កូរ៉េខាងជើង) ត្រូវបានគេកំណត់ថាជាគោលដៅអ្នកជំនាញ blockchain ដែលទាក់ទងនឹងវេទិកាផ្លាស់ប្តូររូបិយប័ណ្ណរូបិយប័ណ្ណដែលមិនបានបញ្ជាក់តាមរយៈវេទិកាផ្ញើសារ Discord ។ ពួកគេបានប្រើប្រាស់មេរោគ macOS ថ្មីដែលមានឈ្មោះថា KANDYKORN។ ប្រតិបត្តិការគម្រាមកំហែងនេះអាចតាមដានបានរហូតដល់ខែមេសា ឆ្នាំ 2023 ហើយចែករំលែកភាពស្រដៀងគ្នាជាមួយក្រុម hacking ដ៏ល្បីល្បាញដែលគេស្គាល់ថា Lazarus Group ដូចដែលបានបង្ហាញដោយការពិនិត្យមើលហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញ និងយុទ្ធសាស្ត្រដែលបានប្រើប្រាស់។

អ្នកវាយប្រហារបានទាក់ទាញអ្នកជំនាញ blockchain ដោយប្រើកម្មវិធី Python ដើម្បីបង្កើតកន្លែងឈរជើងដំបូងនៅក្នុងបរិយាកាសគោលដៅ។ ការឈ្លានពានមានដំណាក់កាលស្មុគ្រស្មាញជាច្រើន ដោយផ្នែកនីមួយៗបញ្ចូលបច្ចេកទេសដោយចេតនា ដើម្បីគេចពីការរាវរក និងចៀសវៀងវិធានការសុវត្ថិភាព។

តួអង្គគំរាមកំហែងបានប្រើល្បិចវិស្វកម្មសង្គម ដើម្បីដាក់ពង្រាយមេរោគ Kandykorn Malware

ការប្រើប្រាស់មេរោគ macOS របស់ក្រុមហ៊ុន Lazarus Group ក្នុងប្រតិបត្តិការរបស់ពួកគេ មិនមែនជាការអភិវឌ្ឍន៍នាពេលថ្មីៗនេះទេ។ កាលពីឆ្នាំមុន តួអង្គគំរាមកំហែងនេះត្រូវបានគេសង្កេតឃើញផ្សព្វផ្សាយកម្មវិធី PDF ដែលត្រូវបានរំខាន ដែលនៅទីបំផុតនាំទៅដល់ការដាក់ឱ្យប្រើប្រាស់ RustBucket ដែលជា backdoor ផ្អែកលើ AppleScript ។ RustBucket មានសមត្ថភាពទាញយកបន្ទុកដំណាក់កាលទីពីរពីម៉ាស៊ីនមេពីចម្ងាយ។

អ្វីដែលប្លែកពីយុទ្ធនាការថ្មីនេះ គឺយុទ្ធសាស្ត្ររបស់អ្នកវាយប្រហារក្នុងការធ្វើជាវិស្វករ blockchain នៅលើម៉ាស៊ីនមេ Discord សាធារណៈ និងប្រើប្រាស់បច្ចេកទេសវិស្វកម្មសង្គមដើម្បីបញ្ឆោតជនរងគ្រោះឱ្យទាញយក និងប្រតិបត្តិប័ណ្ណសារហ្ស៊ីបដែលមានកូដព្យាបាទ។

ជនរងគ្រោះត្រូវបានបង្កើតឡើងដើម្បីជឿថាពួកគេកំពុងដំឡើង arbitrage bot ដែលជាឧបករណ៍សូហ្វវែរដែលអាចទាញយកភាពខុសគ្នានៃអត្រារូបិយប័ណ្ណគ្រីបតូនៅទូទាំងវេទិកាដើម្បីទទួលបានប្រាក់ចំណេញ។ តាមការពិត ដំណើរការបោកប្រាស់នេះកំណត់ដំណាក់កាលសម្រាប់ការបញ្ជូន KANDYKORN ដែលលាតត្រដាងតាមរយៈដំណើរការប្រាំដំណាក់កាល។

ខ្សែសង្វាក់ឆ្លងពហុដំណាក់កាលជួយសម្រួលដល់ការឆ្លងមេរោគ Kandykorn Malware

KANDYKORN តំណាងឱ្យការផ្សាំដ៏ស្មុគ្រស្មាញដែលផ្តល់ដោយមុខងារជាច្រើនដែលត្រូវបានរចនាឡើងសម្រាប់ការត្រួតពិនិត្យ អន្តរកម្ម និងការគេចពីការរកឃើញ។ វាប្រើការផ្ទុកឆ្លុះបញ្ចាំង ដែលជាវិធីសាស្រ្តនៃការប្រតិបត្តិអង្គចងចាំដោយផ្ទាល់ដែលអាចគេចចេញពីយន្តការរាវរក។

ជំហានដំបូងក្នុងដំណើរការនេះពាក់ព័ន្ធនឹងស្គ្រីប Python ដែលត្រូវបានគេស្គាល់ថា 'watcher.py' ដែលទាញយកស្គ្រីប Python មួយផ្សេងទៀត 'testSpeed.py' ដែលបង្ហោះនៅលើ Google Drive ។ ស្គ្រីប Python ទីពីរនេះដើរតួជា dropper និងទៅយកឯកសារ Python បន្ថែមពី Google Drive URL ដែលដាក់ឈ្មោះថា 'FinderTools'។

FinderTools ក៏មានតួនាទីជាអ្នកទម្លាក់ ដែលទទួលខុសត្រូវចំពោះការទាញយក និងដំណើរការបន្ទុកដំណាក់កាលទីពីរដែលលាក់ទុកដែលហៅថា 'SUGARLOADER' (មានទីតាំងនៅ /Users/shared/.sld និង .log)។ ជាបន្តបន្ទាប់ SUGARLOADER បង្កើតការតភ្ជាប់ជាមួយម៉ាស៊ីនមេពីចម្ងាយ ដើម្បីទាញយក KANDYKORN ហើយប្រតិបត្តិវាដោយផ្ទាល់នៅក្នុងអង្គចងចាំ។

SUGARLOADER ដើរតួនាទីបន្ថែមដោយបើកដំណើរការប្រព័ន្ធគោលពីរដែលមានមូលដ្ឋានលើ Swift ដែលបានចុះហត្ថលេខាដោយខ្លួនឯងហៅថា 'HLOADER' ដែលព្យាយាមក្លែងបន្លំជាកម្មវិធី Discord ស្របច្បាប់ និងប្រតិបត្តិ '.log' (ពោលគឺ SUGARLOADER) ដើម្បីសម្រេចបាននូវការតស៊ូតាមរយៈបច្ចេកទេសដែលគេស្គាល់ថាជាការអនុវត្ត។ ការប្លន់លំហូរ។

KANDYKORN ដែលបម្រើការជាបន្ទុកចុងក្រោយ គឺជាកម្មវិធីជំនួយការចូលប្រើពីចម្ងាយ (RAT) ដែលមានមុខងារពេញលេញសម្រាប់ការចងចាំឯកសារ ដំណើរការមេរោគបន្ថែម កំចាត់ទិន្នន័យ បញ្ចប់ដំណើរការ និងប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្ត។

វត្តមានរបស់ KANDYKORN គូសបញ្ជាក់ពីកិច្ចខិតខំប្រឹងប្រែងជាបន្តបន្ទាប់របស់កូរ៉េខាងជើង ជាពិសេសតាមរយៈអង្គភាពដូចជា Lazarus Group ដើម្បីកំណត់គោលដៅអាជីវកម្មដែលទាក់ទងនឹងរូបិយប័ណ្ណគ្រីបតូ។ គោលបំណងចម្បងរបស់ពួកគេគឺដើម្បីលួចរូបិយប័ណ្ណគ្រីបតូ ដើម្បីជៀសផុតពីទណ្ឌកម្មអន្តរជាតិ ដែលរារាំងដល់កំណើនសេដ្ឋកិច្ច និងសេចក្តីប្រាថ្នារបស់ពួកគេ។