Kandykorn मालवेयर
प्रजातान्त्रिक जनवादी गणतन्त्र कोरिया (DPRK) को सरकार द्वारा समर्थित साइबर आक्रमणकारीहरूलाई सन्देश प्लेटफर्म Discord मार्फत एक अनिर्दिष्ट क्रिप्टोकरेन्सी विनिमय प्लेटफर्मसँग सम्बन्धित ब्लकचेन विशेषज्ञहरूलाई लक्षित गरी पहिचान गरिएको छ। तिनीहरूले KANDYKORN भनिने नयाँ macOS मालवेयर प्रयोग गरेका छन्। यो धम्कीपूर्ण अपरेशन अप्रिल 2023 मा पत्ता लगाउन सकिन्छ र नेटवर्क पूर्वाधार र प्रयोग गरिएका रणनीतिहरूको परीक्षणले संकेत गरे अनुसार Lazarus समूह भनेर चिनिने कुख्यात ह्याकिङ समूहसँग समानताहरू साझा गर्न सकिन्छ।
आक्रमणकारीहरूले लक्षित वातावरण भित्र प्रारम्भिक खुट्टा स्थापित गर्न पाइथन अनुप्रयोग प्रयोग गरेर ब्लकचेन पेशेवरहरूलाई प्रलोभनमा पारे। घुसपैठमा धेरै जटिल चरणहरू समावेश थिए, प्रत्येकले पत्ता लगाउनबाट बच्न र सुरक्षा उपायहरू बाइपास गर्न जानाजानी प्रविधिहरू समावेश गरेको थियो।
थ्रेट अभिनेताहरूले क्यान्डिकर्न मालवेयर प्रयोग गर्न सामाजिक-इन्जिनियरिङ लुर्स प्रयोग गरे
लाजरस समूहले आफ्नो सञ्चालनमा macOS मालवेयरको प्रयोग हालैको विकास होइन। गत वर्ष, यो खतरा अभिनेताले छेडछाड गरिएको पीडीएफ एप्लिकेसनलाई प्रसारित गरेको देखियो, जसले अन्ततः AppleScript मा आधारित ब्याकडोर RustBucket को तैनातीमा निम्त्यायो। RustBucket सँग रिमोट सर्भरबाट दोस्रो चरणको पेलोड पुन: प्राप्त गर्ने क्षमता थियो।
नयाँ अभियानलाई सार्वजनिक डिस्कर्ड सर्भरमा ब्लकचेन इन्जिनियरहरूको रूपमा प्रस्तुत गर्ने र खराब कोड भएको ZIP अभिलेखलाई डाउनलोड गर्न र कार्यान्वयन गर्न पीडितहरूलाई धोका दिन सामाजिक इन्जिनियरिङ प्रविधिहरू प्रयोग गर्ने आक्रमणकारीको रणनीति हो।
पीडितहरूलाई विश्वास गराइन्छ कि उनीहरूले आर्बिट्रेज बोट स्थापना गर्दैछन्, एक सफ्टवेयर उपकरण जसले नाफाको लागि प्लेटफर्महरूमा क्रिप्टोकरेन्सी दरहरूमा भिन्नताको शोषण गर्न सक्छ। वास्तवमा, यो भ्रामक प्रक्रियाले KANDYKORN को वितरणको लागि चरण सेट गर्दछ, जुन पाँच-चरण प्रगति मार्फत प्रकट हुन्छ।
एक बहु-चरण संक्रमण श्रृंखलाले क्यान्डीकोर्न मालवेयर संक्रमणलाई सुविधा दिन्छ
KANDYKORN ले अनुगमन, अन्तरक्रिया, र पत्ता लगाउने चोरीको लागि डिजाइन गरिएको कार्यक्षमताहरूको एक विस्तृत दायराको साथ सम्पन्न एक परिष्कृत इम्प्लान्ट प्रतिनिधित्व गर्दछ। यसले रिफ्लेक्टिभ लोडिङलाई रोजगार दिन्छ, प्रत्यक्ष-मेमोरी कार्यान्वयनको एक विधि जसले सम्भावित रूपमा पत्ता लगाउने संयन्त्रलाई बेवास्ता गर्न सक्छ।
यस प्रक्रियाको प्रारम्भिक चरणमा 'watcher.py' भनेर चिनिने पाइथन स्क्रिप्ट समावेश छ, जसले गुगल ड्राइभमा होस्ट गरिएको अर्को पाइथन लिपि, 'testSpeed.py' पुन: प्राप्त गर्दछ। यो दोस्रो पाइथन स्क्रिप्टले ड्रपरको रूपमा कार्य गर्दछ र Google ड्राइभ URL बाट 'FinderTools' नामको अतिरिक्त पाइथन फाइल ल्याउँछ।
FinderTools ले ड्रपरको रूपमा पनि काम गर्दछ, 'SUGARLOADER' (/Users/shared/.sld र .log मा अवस्थित) भनिने लुकाइएको दोस्रो चरणको पेलोड डाउनलोड गर्न र कार्यान्वयन गर्न जिम्मेवार। SUGARLOADER पछि KANDYKORN पुन: प्राप्त गर्न र यसलाई सिधै मेमोरीमा कार्यान्वयन गर्न रिमोट सर्भरसँग जडान स्थापना गर्दछ।
SUGARLOADER ले 'HLOADER' नामक स्व-हस्ताक्षरित स्विफ्ट-आधारित बाइनरी लन्च गरेर एक अतिरिक्त भूमिका लिन्छ, जसले वैध Discord अनुप्रयोगको रूपमा मास्करेड गर्ने प्रयास गर्दछ र '.log' (अर्थात, SUGARLOADER) लाई कार्यान्वयन भनिन्छ। प्रवाह अपहरण।
KANDYKORN, परम पेलोडको रूपमा सेवा गर्दै, फाइल गणना, सप्लिमेन्टरी मालवेयर चलाउने, डेटा निकाल्ने, प्रक्रियाहरू समाप्त गर्ने, र स्वेच्छाचारी आदेशहरू कार्यान्वयन गर्ने अन्तर्निहित क्षमताहरूको साथ पूर्ण रूपमा सुविधायुक्त मेमोरी-रेसिडेन्ट रिमोट एक्सेस ट्रोजन (RAT) हो।
KANDYKORN को उपस्थितिले DPRK को निरन्तर प्रयासलाई जोड दिन्छ, विशेष गरी लाजरस समूह जस्ता संस्थाहरू मार्फत, क्रिप्टोकरेन्सी-सम्बन्धित व्यवसायहरूलाई लक्षित गर्न। तिनीहरूको प्राथमिक उद्देश्य भनेको तिनीहरूको अर्थतन्त्र र आकांक्षाहरूको विकासमा बाधा पुर्याउने अन्तर्राष्ट्रिय प्रतिबन्धहरूलाई रोक्नको लागि क्रिप्टोकरेन्सी चोरी गर्नु हो।
