Kandykorn-malware

Er is vastgesteld dat cyberaanvallers die worden ondersteund door de regering van de Democratische Volksrepubliek Korea (DPRK) zich richten op blockchain-experts die verbonden zijn met een niet-gespecificeerd cryptocurrency-uitwisselingsplatform via het berichtenplatform Discord. Ze hebben een nieuwe macOS-malware gebruikt genaamd KANDYKORN. Deze bedreigende operatie is terug te voeren tot april 2023 en vertoont overeenkomsten met de beruchte hackgroep die bekend staat als de Lazarus Group , zoals blijkt uit een onderzoek van de netwerkinfrastructuur en gebruikte tactieken.

De aanvallers verleidden blockchain-professionals met behulp van een Python-applicatie om een eerste voet aan de grond te krijgen binnen de beoogde omgeving. De inbraak bestond uit meerdere ingewikkelde fasen, waarbij elke fase opzettelijke technieken bevatte om detectie te omzeilen en beveiligingsmaatregelen te omzeilen.

De bedreigingsactoren gebruikten social-engineering-lokmiddelen om de Kandykorn-malware in te zetten

Het gebruik door de Lazarus Group van macOS-malware in hun activiteiten is geen recente ontwikkeling. Het afgelopen jaar werd waargenomen dat deze bedreigingsacteur een gemanipuleerde PDF-toepassing verspreidde, wat uiteindelijk leidde tot de inzet van RustBucket, een achterdeur gebaseerd op AppleScript. RustBucket had de mogelijkheid om een tweede fase-payload op te halen van een externe server.

Wat de nieuwe campagne onderscheidt, is de tactiek van de aanvaller om zich voor te doen als blockchain-ingenieurs op een openbare Discord-server en social engineering-technieken te gebruiken om slachtoffers te misleiden zodat ze een ZIP-archief met kwaadaardige code downloaden en uitvoeren.

De slachtoffers worden wijsgemaakt dat ze een arbitragebot installeren, een softwaretool die verschillen in cryptocurrency-tarieven tussen platforms kan uitbuiten voor winst. In werkelijkheid vormt dit misleidende proces de basis voor de levering van KANDYKORN, die zich ontvouwt in vijf fasen.

Een meerfasige infectieketen vergemakkelijkt de Kandykorn-malware-infectie

KANDYKORN vertegenwoordigt een geavanceerd implantaat met een breed scala aan functionaliteiten, ontworpen voor monitoring, interactie en het ontwijken van detectie. Het maakt gebruik van reflectief laden, een methode voor directe geheugenuitvoering die mogelijk detectiemechanismen kan omzeilen.

De eerste stap in dit proces omvat een Python-script, bekend als 'watcher.py', dat een ander Python-script ophaalt, 'testSpeed.py', gehost op Google Drive. Dit tweede Python-script fungeert als een dropper en haalt een extra Python-bestand op van een Google Drive-URL, genaamd 'FinderTools'.

FinderTools fungeert ook als een dropper, verantwoordelijk voor het downloaden en uitvoeren van een verborgen payload in de tweede fase, genaamd 'SUGARLOADER' (te vinden in /Users/shared/.sld en .log). SUGARLOADER brengt vervolgens een verbinding tot stand met een externe server om KANDYKORN op te halen en rechtstreeks in het geheugen uit te voeren.

SUGARLOADER speelt een extra rol door een zelfondertekend Swift-gebaseerd binair bestand genaamd 'HLOADER' te lanceren, dat zich probeert voor te doen als de legitieme Discord-applicatie en '.log' (dwz SUGARLOADER) uit te voeren om persistentie te bereiken via een techniek die bekend staat als executie stroom kaping.

KANDYKORN, dat als ultieme payload dient, is een volledig uitgeruste, in het geheugen aanwezige Remote Access Trojan (RAT) met inherente mogelijkheden voor het opsommen van bestanden, het uitvoeren van aanvullende malware, het exfiltreren van gegevens, het beëindigen van processen en het uitvoeren van willekeurige opdrachten.

De aanwezigheid van KANDYKORN onderstreept de voortdurende inspanningen van de DVK, vooral via entiteiten als de Lazarus Group, om zich te richten op cryptocurrency-gerelateerde bedrijven. Hun primaire doel is het stelen van cryptocurrency om internationale sancties te omzeilen die de groei van hun economie en ambities belemmeren.