Kandykorn Malware

조선민주주의인민공화국 정부가 지원하는 사이버 공격자들이 메시징 플랫폼 디스코드를 통해 불특정 암호화폐 거래소 플랫폼과 관련된 블록체인 전문가를 표적으로 삼는 것으로 확인됐다. 그들은 KANDYKORN이라는 새로운 macOS 악성 코드를 사용했습니다. 이 위협적인 작전은 2023년 4월로 거슬러 올라갈 수 있으며, 활용된 네트워크 인프라와 전술을 조사한 결과 Lazarus Group 으로 알려진 악명 높은 해킹 그룹과 유사점을 공유합니다.

공격자는 Python 애플리케이션을 사용하여 블록체인 전문가를 유인하여 대상 환경 내에 초기 발판을 마련했습니다. 침입은 여러 복잡한 단계로 구성되었으며 각 단계에는 탐지를 회피하고 보안 조치를 우회하기 위한 의도적인 기술이 포함되어 있었습니다.

위협 행위자들은 소셜 엔지니어링 미끼를 사용하여 Kandykorn 악성 코드를 배포했습니다.

Lazarus Group이 운영에 macOS 악성 코드를 활용한 것은 최근의 일이 아닙니다. 작년에 이 위협 행위자는 변조된 PDF 애플리케이션을 유포하는 것이 관찰되었으며, 이로 인해 결국 AppleScript 기반 백도어인 RustBucket이 배포되었습니다. RustBucket에는 원격 서버에서 2단계 페이로드를 검색하는 기능이 있었습니다.

새로운 캠페인과 구별되는 점은 공개 Discord 서버에서 블록체인 엔지니어로 가장하고 사회 공학 기술을 사용하여 피해자를 속여 악성 코드가 포함된 ZIP 아카이브를 다운로드하고 실행하도록 하는 공격자의 전술입니다.

피해자들은 이익을 위해 플랫폼 간 암호화폐 환율 차이를 이용할 수 있는 소프트웨어 도구인 차익 거래 봇을 설치하고 있다고 믿게 됩니다. 실제로 이 기만적인 프로세스는 5단계 진행을 통해 펼쳐지는 KANDYKORN 전달의 무대를 마련합니다.

다단계 감염 체인이 Kandykorn 악성코드 감염을 촉진합니다

KANDYKORN은 모니터링, 상호 작용 및 탐지 회피를 위해 설계된 광범위한 기능을 갖춘 정교한 임플란트를 나타냅니다. 이는 잠재적으로 탐지 메커니즘을 회피할 수 있는 직접 메모리 실행 방법인 반사 로딩을 사용합니다.

이 프로세스의 초기 단계에는 Google Drive에서 호스팅되는 또 다른 Python 스크립트 'testSpeed.py'를 검색하는 'watcher.py'라는 Python 스크립트가 포함됩니다. 이 두 번째 Python 스크립트는 드로퍼 역할을 하며 Google Drive URL에서 'FinderTools'라는 추가 Python 파일을 가져옵니다.

FinderTools는 또한 'SUGARLOADER'(위치: /Users/shared/.sld 및 .log)라고 하는 숨겨진 2단계 페이로드를 다운로드하고 실행하는 드로퍼 역할도 합니다. SUGARLOADER는 이후 원격 서버와의 연결을 설정하여 KANDYKORN을 검색하고 메모리에서 직접 실행합니다.

SUGARLOADER는 'HLOADER'라는 자체 서명된 Swift 기반 바이너리를 시작하여 추가 역할을 수행합니다. 이 바이너리는 합법적인 Discord 애플리케이션으로 가장하고 '.log'(즉, SUGARLOADER)를 실행하여 실행이라는 기술을 통해 지속성을 달성하려고 시도합니다. 흐름 하이재킹.

최종 페이로드 역할을 하는 KANDYKORN은 파일 열거, 보조 악성 코드 실행, 데이터 유출, 프로세스 종료, 임의 명령 실행 등의 고유한 기능을 갖춘 모든 기능을 갖춘 메모리 상주 원격 액세스 트로이 목마(RAT)입니다.

KANDYKORN의 존재는 특히 Lazarus Group과 같은 단체를 통해 암호화폐 관련 사업을 표적으로 삼으려는 북한의 지속적인 노력을 강조합니다. 이들의 주요 목표는 경제 성장과 열망을 방해하는 국제 제재를 우회하기 위해 암호화폐를 훔치는 것입니다.