Kandykorn Malware
ਡੈਮੋਕ੍ਰੇਟਿਕ ਪੀਪਲਜ਼ ਰੀਪਬਲਿਕ ਆਫ ਕੋਰੀਆ (ਡੀਪੀਆਰਕੇ) ਦੀ ਸਰਕਾਰ ਦੁਆਰਾ ਸਮਰਥਿਤ ਸਾਈਬਰ ਹਮਲਾਵਰਾਂ ਦੀ ਪਛਾਣ ਮੈਸੇਜਿੰਗ ਪਲੇਟਫਾਰਮ ਡਿਸਕਾਰਡ ਦੁਆਰਾ ਇੱਕ ਅਣ-ਨਿਰਧਾਰਤ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਐਕਸਚੇਂਜ ਪਲੇਟਫਾਰਮ ਨਾਲ ਜੁੜੇ ਬਲਾਕਚੈਨ ਮਾਹਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਜੋਂ ਕੀਤੀ ਗਈ ਹੈ। ਉਹਨਾਂ ਨੇ KANDYKORN ਨਾਮਕ ਇੱਕ ਨਵਾਂ macOS ਮਾਲਵੇਅਰ ਲਗਾਇਆ ਹੈ। ਇਸ ਧਮਕੀ ਭਰੇ ਓਪਰੇਸ਼ਨ ਨੂੰ ਅਪ੍ਰੈਲ 2023 ਤੱਕ ਲੱਭਿਆ ਜਾ ਸਕਦਾ ਹੈ ਅਤੇ Lazarus ਗਰੁੱਪ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਬਦਨਾਮ ਹੈਕਿੰਗ ਸਮੂਹ ਨਾਲ ਸਮਾਨਤਾਵਾਂ ਸਾਂਝੀਆਂ ਕੀਤੀਆਂ ਜਾ ਸਕਦੀਆਂ ਹਨ, ਜਿਵੇਂ ਕਿ ਨੈੱਟਵਰਕ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਅਤੇ ਵਰਤੀਆਂ ਗਈਆਂ ਰਣਨੀਤੀਆਂ ਦੀ ਜਾਂਚ ਦੁਆਰਾ ਦਰਸਾਈ ਗਈ ਹੈ।
ਹਮਲਾਵਰਾਂ ਨੇ ਪਾਇਥਨ ਐਪਲੀਕੇਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਬਲਾਕਚੈਨ ਪੇਸ਼ੇਵਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਵਾਤਾਵਰਣ ਦੇ ਅੰਦਰ ਸ਼ੁਰੂਆਤੀ ਪੈਰ ਰੱਖਣ ਲਈ ਲੁਭਾਇਆ। ਘੁਸਪੈਠ ਵਿੱਚ ਕਈ ਗੁੰਝਲਦਾਰ ਪੜਾਅ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ, ਹਰੇਕ ਵਿੱਚ ਖੋਜ ਤੋਂ ਬਚਣ ਅਤੇ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਲਈ ਜਾਣਬੁੱਝ ਕੇ ਤਕਨੀਕਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੇ ਕੈਂਡੀਕੋਰਨ ਮਾਲਵੇਅਰ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਸੋਸ਼ਲ-ਇੰਜੀਨੀਅਰਿੰਗ ਲਾਲਚਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ
ਲਾਜ਼ਰਸ ਗਰੁੱਪ ਵੱਲੋਂ ਆਪਣੇ ਸੰਚਾਲਨ ਵਿੱਚ ਮੈਕੋਸ ਮਾਲਵੇਅਰ ਦੀ ਵਰਤੋਂ ਹਾਲੀਆ ਵਿਕਾਸ ਨਹੀਂ ਹੈ। ਪਿਛਲੇ ਸਾਲ, ਇਸ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਨੂੰ ਇੱਕ ਛੇੜਛਾੜ ਕੀਤੀ PDF ਐਪਲੀਕੇਸ਼ਨ ਦਾ ਪ੍ਰਸਾਰ ਕਰਦੇ ਹੋਏ ਦੇਖਿਆ ਗਿਆ ਸੀ, ਜਿਸ ਦੇ ਫਲਸਰੂਪ AppleScript 'ਤੇ ਅਧਾਰਤ ਇੱਕ ਬੈਕਡੋਰ, RustBucket ਦੀ ਤੈਨਾਤੀ ਕੀਤੀ ਗਈ ਸੀ। RustBucket ਵਿੱਚ ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ ਦੂਜੇ ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਸੀ।
ਨਵੀਂ ਮੁਹਿੰਮ ਨੂੰ ਜੋ ਵੱਖਰਾ ਕਰਦਾ ਹੈ ਉਹ ਹੈ ਇੱਕ ਜਨਤਕ ਡਿਸਕਾਰਡ ਸਰਵਰ 'ਤੇ ਬਲਾਕਚੈਨ ਇੰਜੀਨੀਅਰ ਵਜੋਂ ਪੇਸ਼ ਕਰਨ ਅਤੇ ਪੀੜਤਾਂ ਨੂੰ ਖਤਰਨਾਕ ਕੋਡ ਵਾਲੇ ਜ਼ਿਪ ਆਰਕਾਈਵ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਧੋਖਾ ਦੇਣ ਲਈ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਹਮਲਾਵਰ ਦੀ ਰਣਨੀਤੀ।
ਪੀੜਤਾਂ ਨੂੰ ਵਿਸ਼ਵਾਸ ਦਿਵਾਇਆ ਜਾਂਦਾ ਹੈ ਕਿ ਉਹ ਇੱਕ ਆਰਬਿਟਰੇਜ ਬੋਟ ਸਥਾਪਤ ਕਰ ਰਹੇ ਹਨ, ਇੱਕ ਸਾਫਟਵੇਅਰ ਟੂਲ ਜੋ ਲਾਭ ਲਈ ਪਲੇਟਫਾਰਮਾਂ ਵਿੱਚ ਕ੍ਰਿਪਟੋਕਰੰਸੀ ਦਰਾਂ ਵਿੱਚ ਅੰਤਰ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰ ਸਕਦਾ ਹੈ। ਵਾਸਤਵ ਵਿੱਚ, ਇਹ ਧੋਖਾ ਦੇਣ ਵਾਲੀ ਪ੍ਰਕਿਰਿਆ ਕੰਡੀਕੋਰਨ ਦੀ ਸਪੁਰਦਗੀ ਲਈ ਪੜਾਅ ਤੈਅ ਕਰਦੀ ਹੈ, ਜੋ ਪੰਜ-ਪੜਾਅ ਦੀ ਤਰੱਕੀ ਦੁਆਰਾ ਪ੍ਰਗਟ ਹੁੰਦੀ ਹੈ।
ਇੱਕ ਮਲਟੀ-ਸਟੇਜ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਕੈਂਡੀਕੋਰਨ ਮਾਲਵੇਅਰ ਇਨਫੈਕਸ਼ਨ ਦੀ ਸਹੂਲਤ ਦਿੰਦੀ ਹੈ
KANDYKORN ਇੱਕ ਸੂਝਵਾਨ ਇਮਪਲਾਂਟ ਦੀ ਨੁਮਾਇੰਦਗੀ ਕਰਦਾ ਹੈ ਜੋ ਨਿਗਰਾਨੀ, ਪਰਸਪਰ ਪ੍ਰਭਾਵ, ਅਤੇ ਖੋਜ ਦੀ ਚੋਰੀ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਕਾਰਜਕੁਸ਼ਲਤਾਵਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਨਾਲ ਨਿਵਾਜਿਆ ਗਿਆ ਹੈ। ਇਹ ਰਿਫਲੈਕਟਿਵ ਲੋਡਿੰਗ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ, ਡਾਇਰੈਕਟ-ਮੈਮੋਰੀ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦਾ ਇੱਕ ਤਰੀਕਾ ਜੋ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਖੋਜ ਵਿਧੀਆਂ ਤੋਂ ਬਚ ਸਕਦਾ ਹੈ।
ਇਸ ਪ੍ਰਕਿਰਿਆ ਦੇ ਸ਼ੁਰੂਆਤੀ ਪੜਾਅ ਵਿੱਚ ਇੱਕ ਪਾਈਥਨ ਸਕ੍ਰਿਪਟ ਸ਼ਾਮਲ ਹੁੰਦੀ ਹੈ, ਜਿਸਨੂੰ 'watcher.py' ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਜੋ Google ਡਰਾਈਵ 'ਤੇ ਹੋਸਟ ਕੀਤੀ ਇੱਕ ਹੋਰ ਪਾਈਥਨ ਸਕ੍ਰਿਪਟ, 'testSpeed.py' ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਦੀ ਹੈ। ਇਹ ਦੂਜੀ ਪਾਈਥਨ ਸਕ੍ਰਿਪਟ ਇੱਕ ਡਰਾਪਰ ਵਜੋਂ ਕੰਮ ਕਰਦੀ ਹੈ ਅਤੇ Google ਡਰਾਈਵ URL ਤੋਂ ਇੱਕ ਵਾਧੂ ਪਾਈਥਨ ਫਾਈਲ ਪ੍ਰਾਪਤ ਕਰਦੀ ਹੈ, ਜਿਸਦਾ ਨਾਮ 'ਫਾਈਂਡਰ ਟੂਲਸ' ਹੈ।
ਫਾਈਂਡਰ ਟੂਲਸ ਇੱਕ ਡਰਾਪਰ ਦੇ ਤੌਰ 'ਤੇ ਵੀ ਕੰਮ ਕਰਦਾ ਹੈ, ਜੋ 'SUGARLOADER' (/Users/shared/.sld ਅਤੇ .log 'ਤੇ ਸਥਿਤ) ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਛੁਪੇ ਹੋਏ ਦੂਜੇ-ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ। SUGARLOADER ਬਾਅਦ ਵਿੱਚ KANDYKORN ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਅਤੇ ਇਸਨੂੰ ਸਿੱਧੇ ਮੈਮੋਰੀ ਵਿੱਚ ਚਲਾਉਣ ਲਈ ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ ਨਾਲ ਇੱਕ ਕਨੈਕਸ਼ਨ ਸਥਾਪਤ ਕਰਦਾ ਹੈ।
SUGARLOADER 'HLOADER' ਨਾਂ ਦੀ ਇੱਕ ਸਵੈ-ਦਸਤਖਤ ਕੀਤੀ ਸਵਿਫਟ-ਅਧਾਰਿਤ ਬਾਈਨਰੀ ਲਾਂਚ ਕਰਕੇ ਇੱਕ ਵਾਧੂ ਭੂਮਿਕਾ ਨਿਭਾਉਂਦਾ ਹੈ, ਜੋ ਕਿ ਜਾਇਜ਼ ਡਿਸਕਾਰਡ ਐਪਲੀਕੇਸ਼ਨ ਦੇ ਰੂਪ ਵਿੱਚ ਮਾਸਕੇਰੇਡ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ ਅਤੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਵਜੋਂ ਜਾਣੀ ਜਾਂਦੀ ਤਕਨੀਕ ਰਾਹੀਂ ਦ੍ਰਿੜਤਾ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ '.log' (ਭਾਵ, SUGARLOADER) ਨੂੰ ਚਲਾਉਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ। ਵਹਾਅ ਹਾਈਜੈਕਿੰਗ.
KANDYKORN, ਅੰਤਮ ਪੇਲੋਡ ਦੇ ਤੌਰ 'ਤੇ ਸੇਵਾ ਕਰ ਰਿਹਾ ਹੈ, ਇੱਕ ਪੂਰੀ ਤਰ੍ਹਾਂ ਵਿਸ਼ੇਸ਼ਤਾ ਵਾਲਾ ਮੈਮੋਰੀ-ਰੈਜ਼ੀਡੈਂਟ ਰਿਮੋਟ ਐਕਸੈਸ ਟਰੋਜਨ (RAT) ਹੈ ਜਿਸ ਵਿੱਚ ਫਾਈਲ ਗਣਨਾ, ਪੂਰਕ ਮਾਲਵੇਅਰ ਚਲਾਉਣ, ਡਾਟਾ ਐਕਸਫਲਟਰ ਕਰਨ, ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਖਤਮ ਕਰਨ, ਅਤੇ ਆਪਹੁਦਰੇ ਹੁਕਮਾਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਅੰਦਰੂਨੀ ਸਮਰੱਥਾਵਾਂ ਹਨ।
KANDYKORN ਦੀ ਮੌਜੂਦਗੀ DPRK ਦੇ ਨਿਰੰਤਰ ਯਤਨਾਂ ਨੂੰ ਰੇਖਾਂਕਿਤ ਕਰਦੀ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਲਾਜ਼ਰਸ ਗਰੁੱਪ ਵਰਗੀਆਂ ਸੰਸਥਾਵਾਂ ਦੁਆਰਾ, ਕ੍ਰਿਪਟੋਕਰੰਸੀ-ਸਬੰਧਤ ਕਾਰੋਬਾਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ। ਉਹਨਾਂ ਦਾ ਮੁੱਖ ਉਦੇਸ਼ ਅੰਤਰਰਾਸ਼ਟਰੀ ਪਾਬੰਦੀਆਂ ਨੂੰ ਰੋਕਣ ਲਈ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਦੀ ਚੋਰੀ ਕਰਨਾ ਹੈ ਜੋ ਉਹਨਾਂ ਦੀ ਆਰਥਿਕਤਾ ਅਤੇ ਇੱਛਾਵਾਂ ਦੇ ਵਿਕਾਸ ਵਿੱਚ ਰੁਕਾਵਟ ਪਾਉਂਦੇ ਹਨ।
