Kandykorn kenkėjiška programa

Nustatyta, kad Korėjos Liaudies Demokratinės Respublikos (KLDR) vyriausybės remiami kibernetiniai užpuolikai nusitaiko į blokų grandinės ekspertus, susijusius su nenurodyta kriptovaliutų mainų platforma per pranešimų platformą „Discord“. Jie panaudojo naują „MacOS“ kenkėjišką programą, pavadintą KANDYKORN. Šią grėsmę keliančią operaciją galima atsekti 2023 m. balandžio mėn. ir ji turi panašumų su liūdnai pagarsėjusia įsilaužimo grupe, vadinama Lazarus Group , kaip rodo tinklo infrastruktūros ir naudojamos taktikos tyrimas.

Užpuolikai suviliojo blokų grandinės profesionalus naudodami Python programą, kad nustatytų pradinę atramą tikslinėje aplinkoje. Įsibrovimą sudarė kelios sudėtingos fazės, kurių kiekvienoje buvo apgalvotos technikos, skirtos išvengti aptikimo ir apeiti saugumo priemones.

Grėsmių veikėjai naudojo socialinės inžinerijos jaukus, kad įdiegtų Kandykorn kenkėjišką programą

„Lazarus Group“ savo veikloje naudoja „macOS“ kenkėjišką programinę įrangą nėra naujas įvykis. Praėjusiais metais buvo pastebėta, kad šis grėsmės veikėjas platino sugadintą PDF programą, dėl kurios galiausiai buvo įdiegta „RustBucket“, „AppleScript“ pagrindu sukurta užpakalinė durys. RustBucket turėjo galimybę nuskaityti antrojo etapo naudingą apkrovą iš nuotolinio serverio.

Naujoji kampanija išsiskiria tuo, kad užpuolikas viešajame „Discord“ serveryje apsimetė „blockchain“ inžinieriais ir naudoja socialinės inžinerijos metodus, kad apgautų aukas, kad jos atsisiųstų ir paleistų ZIP archyvą su kenkėjišku kodu.

Aukos verčiamos manyti, kad jos diegia arbitražo robotą – programinės įrangos įrankį, kuris gali išnaudoti kriptovaliutų kursų skirtumus įvairiose platformose, siekdamas pelno. Tiesą sakant, šis apgaulingas procesas sudaro pagrindą KANDYKORN pristatymui, kuris vystosi per penkis etapus.

Daugiapakopė infekcijos grandinė palengvina Kandykorn kenkėjiškų programų infekciją

KANDYKORN yra sudėtingas implantas, turintis daugybę funkcijų, skirtų stebėti, sąveikauti ir išvengti aptikimo. Jis naudoja atspindinčią apkrovą, tiesioginės atminties vykdymo metodą, kuris gali išvengti aptikimo mechanizmų.

Pradinis šio proceso veiksmas apima Python scenarijų, žinomą kaip „watcher.py“, kuris nuskaito kitą Python scenarijų „testSpeed.py“, priglobtą „Google“ diske. Šis antrasis Python scenarijus veikia kaip lašintuvas ir iš „Google“ disko URL paima papildomą Python failą, pavadintą „FinderTools“.

„FinderTools“ taip pat veikia kaip lašintuvas, atsakingas už paslėpto antrojo etapo naudingojo krovinio, vadinamo „SUGARLOADER“ (esantis /Users/shared/.sld ir .log), atsisiuntimą ir vykdymą. SUGARLOADER vėliau užmezga ryšį su nuotoliniu serveriu, kad nuskaitytų KANDYKORN ir paleistų jį tiesiogiai atmintyje.

SUGARLOADER prisiima papildomą vaidmenį paleisdama savarankiškai pasirašytą „Swift“ pagrindu sukurtą dvejetainį failą „HLOADER“, kuris bando apsimesti teisėta „Discord“ programa ir paleisti „.log“ (ty SUGARLOADER), kad būtų pasiektas atkaklumas naudojant techniką, vadinamą vykdymu. srauto užgrobimas.

KANDYKORN, tarnaujantis kaip didžiausias naudingasis krovinys, yra visapusiškai atmintyje gyvenantis nuotolinės prieigos Trojos arklys (RAT), turintis būdingų failų sąrašo, papildomos kenkėjiškos programos paleidimo, duomenų išfiltravimo, procesų nutraukimo ir savavališkų komandų vykdymo galimybių.

KANDYKORN buvimas pabrėžia nuolatines KLDR pastangas, ypač per tokius subjektus kaip „Lazarus Group“, nukreipti su kriptovaliutomis susijusias įmones. Jų pagrindinis tikslas yra pavogti kriptovaliutą, siekiant apeiti tarptautines sankcijas, kurios trukdo jų ekonomikos augimui ir siekiams.