Kandykorn Malware

Penyerang siber yang disokong oleh kerajaan Republik Rakyat Demokratik Korea (DPRK) telah dikenal pasti menyasarkan pakar blockchain yang dikaitkan dengan platform pertukaran mata wang kripto yang tidak ditentukan melalui platform pemesejan Discord. Mereka telah menggunakan perisian hasad macOS baharu yang dipanggil KANDYKORN. Operasi mengancam ini boleh dikesan sejak April 2023 dan berkongsi persamaan dengan kumpulan penggodaman terkenal yang dikenali sebagai Kumpulan Lazarus , seperti yang ditunjukkan oleh pemeriksaan infrastruktur rangkaian dan taktik yang digunakan.

Penyerang memikat profesional blockchain menggunakan aplikasi Python untuk mewujudkan pijakan awal dalam persekitaran yang disasarkan. Pencerobohan itu terdiri daripada berbilang fasa rumit, dengan setiap satu menggabungkan teknik yang disengajakan untuk mengelak pengesanan dan memintas langkah keselamatan.

Pelakon Ancaman Menggunakan Gewang Kejuruteraan Sosial untuk Menggunakan Perisian Hasad Kandykorn

Penggunaan perisian hasad macOS oleh Kumpulan Lazarus dalam operasi mereka bukanlah perkembangan terkini. Pada tahun lalu, pelakon ancaman ini diperhatikan menyebarkan aplikasi PDF yang diusik, yang akhirnya membawa kepada penggunaan RustBucket, pintu belakang berdasarkan AppleScript. RustBucket mempunyai keupayaan untuk mendapatkan semula muatan peringkat kedua daripada pelayan jauh.

Apa yang membezakan kempen baharu ini ialah taktik penyerang menyamar sebagai jurutera blockchain pada pelayan Discord awam dan menggunakan teknik kejuruteraan sosial untuk memperdaya mangsa supaya memuat turun dan melaksanakan arkib ZIP yang mengandungi kod berniat jahat.

Mangsa dibuat untuk mempercayai bahawa mereka memasang bot arbitraj, alat perisian yang boleh mengeksploitasi perbezaan dalam kadar mata wang kripto merentas platform untuk mendapatkan keuntungan. Pada hakikatnya, proses menipu ini menetapkan peringkat untuk penyampaian KANDYKORN, yang terbentang melalui perkembangan lima peringkat.

Rantaian Jangkitan Berbilang Peringkat Memudahkan Jangkitan Perisian Hasad Kandykorn

KANDYKORN mewakili implan canggih yang dikurniakan pelbagai fungsi yang direka untuk pemantauan, interaksi dan pengelakan pengesanan. Ia menggunakan pemuatan reflektif, kaedah pelaksanaan ingatan langsung yang berpotensi mengelak mekanisme pengesanan.

Langkah awal dalam proses ini melibatkan skrip Python, dikenali sebagai 'watcher.py,' yang mendapatkan semula skrip Python lain, 'testSpeed.py,' yang dihoskan di Google Drive. Skrip Python kedua ini bertindak sebagai penitis dan mengambil fail Python tambahan daripada URL Google Drive, bernama 'FinderTools.'

FinderTools juga berfungsi sebagai penitis, bertanggungjawab untuk memuat turun dan melaksanakan muatan peringkat kedua yang tersembunyi yang dirujuk sebagai 'SUGARLOADER' (terletak di /Users/shared/.sld dan .log). SUGARLOADER kemudiannya mewujudkan sambungan dengan pelayan jauh untuk mendapatkan KANDYKORN dan melaksanakannya terus dalam ingatan.

SUGARLOADER mengambil peranan tambahan dengan melancarkan binari berasaskan Swift yang ditandatangani sendiri yang dipanggil 'HLOADER,' yang cuba menyamar sebagai aplikasi Discord yang sah dan melaksanakan '.log' (iaitu, SUGARLOADER) untuk mencapai kegigihan melalui teknik yang dikenali sebagai pelaksanaan rampasan aliran.

KANDYKORN, berfungsi sebagai muatan muktamad, ialah Trojan Akses Jauh (RAT) pemastautin memori berciri penuh dengan keupayaan sedia ada untuk penghitungan fail, menjalankan perisian hasad tambahan, mengeksfiltrasi data, menamatkan proses dan melaksanakan arahan sewenang-wenangnya.

Kehadiran KANDYKORN menggariskan usaha berterusan DPRK, terutamanya melalui entiti seperti Kumpulan Lazarus, untuk menyasarkan perniagaan berkaitan mata wang kripto. Objektif utama mereka adalah untuk mencuri mata wang kripto untuk mengelak sekatan antarabangsa yang menghalang pertumbuhan ekonomi dan aspirasi mereka.