Kandykorn Malware

Stwierdzono, że cyberprzestępcy wspierani przez rząd Koreańskiej Republiki Ludowo-Demokratycznej (KRLD) atakują ekspertów blockchain powiązanych z nieokreśloną platformą wymiany kryptowalut za pośrednictwem platformy komunikacyjnej Discord. Wykorzystali nowe złośliwe oprogramowanie dla systemu macOS o nazwie KANDYKORN. Tę groźną operację można prześledzić od kwietnia 2023 r. i wykazuje ona podobieństwa do znanej grupy hakerskiej znanej jako Lazarus Group , jak wykazało badanie infrastruktury sieciowej i stosowanej taktyki.

Napastnicy zwabili specjalistów zajmujących się blockchainem za pomocą aplikacji w języku Python w celu uzyskania początkowego punktu zaczepienia w docelowym środowisku. Włamanie składało się z wielu skomplikowanych faz, z których każda obejmowała celowe techniki uniknięcia wykrycia i obejścia środków bezpieczeństwa.

Podmioty zagrażające wykorzystały przynęty socjotechniczne do wdrożenia złośliwego oprogramowania Kandykorn

Wykorzystywanie przez Grupę Lazarus złośliwego oprogramowania dla systemu macOS w swojej działalności nie jest nowością. W zeszłym roku zaobserwowano, że ten ugrupowanie cyberprzestępcze rozpowszechniał zmodyfikowaną aplikację PDF, co ostatecznie doprowadziło do wdrożenia RustBucket, backdoora opartego na AppleScript. RustBucket miał możliwość pobrania ładunku drugiego etapu ze zdalnego serwera.

Tym, co wyróżnia nową kampanię, jest taktyka atakującego polegająca na udawaniu inżynierów blockchain na publicznym serwerze Discord i wykorzystywaniu technik inżynierii społecznej w celu oszukania ofiar w celu pobrania i uruchomienia archiwum ZIP zawierającego złośliwy kod.

Ofiarom wmawia się, że instalują bota arbitrażowego, narzędzie programowe, które może wykorzystywać różnice w kursach kryptowalut na różnych platformach w celu osiągnięcia zysku. W rzeczywistości ten zwodniczy proces przygotowuje grunt pod powstanie KANDYKORN, które przebiega w pięciu etapach.

Wieloetapowy łańcuch infekcji ułatwia infekcję złośliwym oprogramowaniem Kandykorn

KANDYKORN to wyrafinowany implant wyposażony w szeroką gamę funkcjonalności przeznaczonych do monitorowania, interakcji i unikania wykrycia. Wykorzystuje ładowanie odblaskowe, metodę wykonywania z pamięci bezpośredniej, która może potencjalnie ominąć mechanizmy wykrywania.

Początkowy etap tego procesu obejmuje skrypt w języku Python, znany jako „watcher.py”, który pobiera inny skrypt w języku Python, „testSpeed.py” przechowywany na Dysku Google. Ten drugi skrypt Pythona działa jak dropper i pobiera dodatkowy plik Pythona z adresu URL Dysku Google o nazwie „FinderTools”.

FinderTools służy również jako dropper odpowiedzialny za pobieranie i wykonywanie ukrytego ładunku drugiego etapu zwanego „SUGARLOADER” (znajdującego się w plikach /Users/shared/.sld i .log). SUGARLOADER następnie nawiązuje połączenie ze zdalnym serwerem, aby pobrać KANDYKORN i wykonać go bezpośrednio w pamięci.

SUGARLOADER przyjmuje dodatkową rolę, uruchamiając samopodpisany plik binarny oparty na Swift o nazwie „HLOADER”, który próbuje udawać legalną aplikację Discord i uruchamia plik „.log” (tj. SUGARLOADER), aby osiągnąć trwałość za pomocą techniki zwanej wykonaniem przejmowanie przepływu.

KANDYKORN, służący jako ostateczny ładunek, to w pełni funkcjonalny trojan zdalnego dostępu (RAT), rezydentny w pamięci, z nieodłącznymi funkcjami wyliczania plików, uruchamiania dodatkowego złośliwego oprogramowania, eksfiltracji danych, kończenia procesów i wykonywania dowolnych poleceń.

Obecność KANDYKORN podkreśla ciągłe wysiłki KRLD, szczególnie za pośrednictwem podmiotów takich jak Grupa Lazarus, mające na celu atakowanie przedsiębiorstw związanych z kryptowalutami. Ich głównym celem jest kradzież kryptowalut w celu obejścia międzynarodowych sankcji, które utrudniają rozwój ich gospodarki i aspiracji.