Kandykorn skadelig programvare

Cyberangripere støttet av regjeringen i Den demokratiske folkerepublikken Korea (DPRK) har blitt identifisert som målrettet mot blokkjedeeksperter knyttet til en uspesifisert kryptovaluta-utvekslingsplattform gjennom meldingsplattformen Discord. De har tatt i bruk en ny macOS malware kalt KANDYKORN. Denne truende operasjonen kan spores tilbake til april 2023 og deler likheter med den beryktede hackergruppen kjent som Lazarus Group , som indikert av en undersøkelse av nettverksinfrastrukturen og taktikken som ble brukt.

Angriperne lokket blockchain-fagfolk ved å bruke en Python-applikasjon for å etablere et første fotfeste i det målrettede miljøet. Inntrengingen besto av flere intrikate faser, hvor hver av dem inneholdt bevisste teknikker for å unngå oppdagelse og omgå sikkerhetstiltak.

Trusselaktørene brukte sosialtekniske lokker for å distribuere Kandykorn-malware

Lazarus Groups bruk av macOS malware i deres operasjoner er ikke en nylig utvikling. I det siste året ble denne trusselaktøren observert spre en tuklet PDF-applikasjon, noe som til slutt førte til utplasseringen av RustBucket, en bakdør basert på AppleScript. RustBucket hadde muligheten til å hente en nyttelast i andre trinn fra en ekstern server.

Det som kjennetegner den nye kampanjen er angriperens taktikk med å utgi seg som blokkjedeingeniører på en offentlig Discord-server og bruke sosiale ingeniørteknikker for å lure ofre til å laste ned og kjøre et ZIP-arkiv som inneholder ondsinnet kode.

Ofrene får man til å tro at de installerer en arbitrage-bot, et programvareverktøy som kan utnytte forskjeller i kryptovalutakurser på tvers av plattformer for profitt. I virkeligheten setter denne villedende prosessen scenen for leveringen av KANDYKORN, som utfolder seg gjennom en fem-trinns progresjon.

En flertrinns infeksjonskjede letter Kandykorns skadelig programvareinfeksjon

KANDYKORN representerer et sofistikert implantat utstyrt med et bredt spekter av funksjoner designet for overvåking, interaksjon og unndragelse av deteksjon. Den bruker reflekterende lasting, en metode for direkte minneutførelse som potensielt kan unngå deteksjonsmekanismer.

Det første trinnet i denne prosessen involverer et Python-skript, kjent som 'watcher.py', som henter et annet Python-skript, 'testSpeed.py', som ligger på Google Disk. Dette andre Python-skriptet fungerer som en dropper og henter en ekstra Python-fil fra en Google Disk-URL, kalt "FinderTools".

FinderTools fungerer også som en dropper, ansvarlig for å laste ned og utføre en skjult nyttelast i andre trinn referert til som 'SUGARLOADER' (plassert på /Users/shared/.sld og .log). SUGARLOADER oppretter deretter en forbindelse med en ekstern server for å hente KANDYKORN og kjøre den direkte i minnet.

SUGARLOADER tar på seg en ekstra rolle ved å lansere en selvsignert Swift-basert binær kalt 'HLOADER', som forsøker å maskere seg som den legitime Discord-applikasjonen og kjøre '.log' (dvs. SUGARLOADER) for å oppnå utholdenhet gjennom en teknikk kjent som execution flytkapring.

KANDYKORN, som fungerer som den ultimate nyttelasten, er en fullt utstyrt minne-resident Remote Access Trojan (RAT) med iboende muligheter for filoppregning, kjøring av tilleggsskadelig programvare, eksfiltrering av data, avslutning av prosesser og utføring av vilkårlige kommandoer.

Tilstedeværelsen av KANDYKORN understreker den kontinuerlige innsatsen til DPRK, spesielt gjennom enheter som Lazarus Group, for å målrette kryptovaluta-relaterte virksomheter. Deres primære mål er å stjele kryptovaluta for å omgå internasjonale sanksjoner som hindrer veksten av deres økonomi og ambisjoner.