Kandykorn Malware

Ir konstatēts, ka Korejas Tautas Demokrātiskās Republikas (KTDR) valdības atbalstītie kiberuzbrucēji ir vērsti pret blokķēdes ekspertiem, kas saistīti ar nenoteiktu kriptovalūtas apmaiņas platformu, izmantojot ziņojumapmaiņas platformu Discord. Viņi ir izmantojuši jaunu macOS ļaunprātīgu programmatūru ar nosaukumu KANDYKORN. Šīs draudošās operācijas var izsekot līdz 2023. gada aprīlim, un tai ir līdzības ar bēdīgi slaveno hakeru grupu, kas pazīstama kā Lazarus Group , kā liecina tīkla infrastruktūras un izmantotās taktikas pārbaude.

Uzbrucēji vilināja blokķēdes profesionāļus, izmantojot Python lietojumprogrammu, lai izveidotu sākotnējo stabilitāti mērķa vidē. Ielaušanās sastāvēja no vairākām sarežģītām fāzēm, un katra no tām ietvēra apzinātas metodes, lai izvairītos no atklāšanas un apietu drošības pasākumus.

Draudu dalībnieki izmantoja sociālās inženierijas vilinājumus, lai izvietotu Kandykorn ļaunprātīgu programmatūru

Tas, ka Lazarus Group savā darbībā izmanto MacOS ļaunprātīgu programmatūru, nav nesens notikums. Pagājušajā gadā tika novērots, ka šis apdraudējuma dalībnieks izplatīja bojātu PDF lietojumprogrammu, kas galu galā noveda pie RustBucket — uz AppleScript balstītas aizmugures durvis. RustBucket bija iespēja izgūt otrās pakāpes lietderīgo slodzi no attālā servera.

Jaunā kampaņa atšķiras ar uzbrucēja taktika uzdoties par blokķēdes inženieriem publiskā Discord serverī un izmantot sociālās inženierijas paņēmienus, lai maldinātu upurus, lai tie lejupielādētu un izpildītu ZIP arhīvu, kas satur ļaunprātīgu kodu.

Cietušie tiek likti domāt, ka viņi instalē arbitrāžas robotu — programmatūras rīku, kas var izmantot kriptovalūtas kursu atšķirības dažādās platformās, lai gūtu peļņu. Patiesībā šis maldinošais process nosaka pamatu KANDYKORN piegādei, kas izvēršas piecu posmu progresijā.

Daudzpakāpju infekcijas ķēde atvieglo Kandykorn ļaunprātīgas programmatūras infekciju

KANDYKORN ir izsmalcināts implants, kas apveltīts ar plašu funkciju klāstu, kas paredzēts uzraudzībai, mijiedarbībai un izvairīšanās no atklāšanas. Tas izmanto atstarojošu ielādi, tiešās atmiņas izpildes metodi, kas potenciāli var izvairīties no atklāšanas mehānismiem.

Sākotnējā šī procesa darbība ietver Python skriptu, kas pazīstams kā “watcher.py”, kas izgūst citu Python skriptu “testSpeed.py”, kas mitināts Google diskā. Šis otrais Python skripts darbojas kā pilinātājs un ienes papildu Python failu no Google diska URL ar nosaukumu "FinderTools".

FinderTools kalpo arī kā pilinātājs, kas ir atbildīgs par slēptas otrās pakāpes lietderīgās slodzes, ko dēvē par “SUGARLOADER” (atrodas /Users/shared/.sld un .log), lejupielādi un izpildi. Pēc tam SUGARLOADER izveido savienojumu ar attālo serveri, lai izgūtu KANDYKORN un izpildītu to tieši atmiņā.

SUGARLOADER uzņemas papildu lomu, palaižot pašparakstītu uz Swift balstītu bināru ar nosaukumu "HLOADER", kas mēģina maskēties kā likumīga Discord lietojumprogramma un izpildīt ".log" (ti, SUGARLOADER), lai panāktu noturību, izmantojot paņēmienu, kas pazīstams kā izpilde. plūsmas nolaupīšana.

KANDYKORN, kas kalpo kā galvenā lietderīgā slodze, ir pilnībā aprīkots atmiņas rezidents attālās piekļuves Trojas zirgs (RAT) ar raksturīgām iespējām failu uzskaitīšanai, papildu ļaunprātīgas programmatūras palaišanai, datu izfiltrēšanai, procesu pārtraukšanai un patvaļīgu komandu izpildei.

KANDYKORN klātbūtne uzsver KTDR nepārtrauktos centienus, jo īpaši ar tādu organizāciju starpniecību kā Lazarus Group, lai mērķētu uz kriptovalūtām saistītus uzņēmumus. Viņu galvenais mērķis ir zagt kriptovalūtu, lai apietu starptautiskās sankcijas, kas kavē viņu ekonomikas izaugsmi un centienus.