Malware Kandykorn

Atacatorii cibernetici sprijiniți de guvernul Republicii Populare Democrate Coreea (RPDC) au fost identificați ca vizează experți în blockchain asociați cu o platformă de schimb de criptomonede nespecificată prin intermediul platformei de mesagerie Discord. Ei au folosit un nou malware macOS numit KANDYKORN. Această operațiune amenințătoare poate fi urmărită încă din aprilie 2023 și are asemănări cu notoriul grup de hacking cunoscut sub numele de Lazarus Group , după cum arată o examinare a infrastructurii și tacticilor de rețea utilizate.

Atacatorii au atras profesioniștii blockchain folosind o aplicație Python pentru a stabili un punct de sprijin inițial în mediul vizat. Intruziunea a constat în mai multe faze complicate, fiecare încorporând tehnici deliberate pentru a evita detectarea și a ocoli măsurile de securitate.

Actorii amenințărilor au folosit momeli de inginerie socială pentru a implementa programul malware Kandykorn

Utilizarea de către Grupul Lazarus a malware-ului macOS în operațiunile lor nu este o dezvoltare recentă. În ultimul an, acest actor de amenințare a fost observat difuzând o aplicație PDF manipulată, ceea ce a dus în cele din urmă la implementarea RustBucket, o ușă din spate bazată pe AppleScript. RustBucket a avut capacitatea de a prelua o încărcătură utilă din a doua etapă de pe un server la distanță.

Ceea ce distinge noua campanie este tactica atacatorului de a se prezenta drept ingineri blockchain pe un server Discord public și de a folosi tehnici de inginerie socială pentru a înșela victimele să descarce și să execute o arhivă ZIP care conține cod rău intenționat.

Victimele sunt făcute să creadă că instalează un bot de arbitraj, un instrument software care poate exploata diferențele dintre ratele criptomonedei pe platforme pentru profit. În realitate, acest proces înșelător stabilește scena pentru livrarea KANDYKORN, care se desfășoară printr-o progresie în cinci etape.

Un lanț de infecție în mai multe etape facilitează infecția cu malware Kandykorn

KANDYKORN reprezintă un implant sofisticat dotat cu o gamă largă de funcționalități concepute pentru monitorizare, interacțiune și evitarea detectării. Utilizează încărcare reflectivă, o metodă de execuție directă cu memorie care poate evita mecanismele de detectare.

Pasul inițial al acestui proces implică un script Python, cunoscut sub numele de „watcher.py”, care preia un alt script Python, „testSpeed.py”, găzduit pe Google Drive. Acest al doilea script Python acționează ca un dropper și preia un fișier Python suplimentar de la o adresă URL Google Drive, numită „FinderTools”.

FinderTools servește și ca dropper, responsabil pentru descărcarea și executarea unei sarcini utile ascunse din a doua etapă, denumită „SUGARLOADER” (situat la /Users/shared/.sld și .log). SUGARLOADER stabilește ulterior o conexiune cu un server la distanță pentru a prelua KANDYKORN și a-l executa direct în memorie.

SUGARLOADER își asumă un rol suplimentar prin lansarea unui binar bazat pe Swift autosemnat numit „HLOADER”, care încearcă să se prefacă drept aplicația Discord legitimă și să execute „.log” (adică SUGARLOADER) pentru a obține persistența printr-o tehnică cunoscută sub numele de execuție. deturnarea fluxului.

KANDYKORN, care servește drept sarcină utilă finală, este un troian cu acces la distanță (RAT) rezident în memorie complet, cu capabilități inerente pentru enumerarea fișierelor, rularea de programe malware suplimentare, exfiltrarea datelor, terminarea proceselor și executarea de comenzi arbitrare.

Prezența KANDYKORN subliniază eforturile continue ale RPDC, în special prin intermediul unor entități precum Grupul Lazarus, de a viza afacerile legate de criptomonede. Obiectivul lor principal este să fure criptomonede pentru a eluda sancțiunile internaționale care împiedică creșterea economiei și a aspirațiilor lor.