Kandykorn Malware

Киберзлоумышленники, поддерживаемые правительством Корейской Народно-Демократической Республики (КНДР), были идентифицированы как нацеленные на экспертов по блокчейну, связанных с неуказанной платформой обмена криптовалютой, через платформу обмена сообщениями Discord. Они использовали новое вредоносное ПО для macOS под названием KANDYKORN. Эту угрожающую операцию можно проследить до апреля 2023 года, и она имеет сходство с пресловутой хакерской группой, известной как Lazarus Group , о чем свидетельствует исследование сетевой инфраструктуры и использованной тактики.

Злоумышленники соблазнили специалистов по блокчейну использовать приложение Python, чтобы закрепиться в целевой среде. Вторжение состояло из нескольких сложных этапов, каждый из которых включал в себя преднамеренные методы уклонения от обнаружения и обхода мер безопасности.

Злоумышленники использовали приманки социальной инженерии для внедрения вредоносного ПО Kandykorn

Использование Lazarus Group вредоносного ПО для macOS в своей деятельности не является чем-то недавним. В прошлом году было замечено, что этот злоумышленник распространял поддельное приложение PDF, что в конечном итоге привело к развертыванию RustBucket, бэкдора на основе AppleScript. RustBucket имел возможность получать полезную нагрузку второго этапа с удаленного сервера.

Что отличает новую кампанию, так это тактика злоумышленников, выдающих себя за инженеров блокчейна на общедоступном сервере Discord и использующих методы социальной инженерии, чтобы обманом заставить жертв загрузить и выполнить ZIP-архив, содержащий вредоносный код.

Жертв заставляют поверить, что они устанавливают арбитражного бота — программный инструмент, который может использовать разницу в курсах криптовалют на разных платформах для получения прибыли. В действительности, этот обманчивый процесс подготавливает почву для появления КАНДИКОРНА, который разворачивается в пять стадий.

Многоэтапная цепочка заражения облегчает заражение вредоносным ПО Kandykorn

КАНДИКОРН представляет собой сложный имплантат, наделенный широким набором функций, предназначенных для мониторинга, взаимодействия и уклонения от обнаружения. Он использует рефлексивную загрузку — метод выполнения в прямой памяти, который потенциально может обойти механизмы обнаружения.

На начальном этапе этого процесса используется сценарий Python, известный как «watcher.py», который извлекает другой сценарий Python, «testSpeed.py», размещенный на Google Диске. Этот второй скрипт Python действует как дроппер и извлекает дополнительный файл Python с URL-адреса Google Диска с именем «FinderTools».

FinderTools также выполняет роль дроппера, отвечающего за загрузку и выполнение скрытой полезной нагрузки второго этапа, называемой «SUGARLOADER» (находится в /Users/shared/.sld и .log). Впоследствии SUGARLOADER устанавливает соединение с удаленным сервером, чтобы получить KANDYKORN и выполнить его непосредственно в памяти.

SUGARLOADER берет на себя дополнительную роль, запуская самозаверяющий двоичный файл на основе Swift под названием «HLOADER», который пытается замаскироваться под законное приложение Discord и выполнить «.log» (т. е. SUGARLOADER) для достижения устойчивости с помощью метода, известного как выполнение. перехват потока.

KANDYKORN, выступающий в качестве основной полезной нагрузки, представляет собой полнофункциональный резидентный в памяти троян удаленного доступа (RAT) со встроенными возможностями перечисления файлов, запуска дополнительных вредоносных программ, извлечения данных, завершения процессов и выполнения произвольных команд.

Присутствие KANDYKORN подчеркивает постоянные усилия КНДР, особенно через такие организации, как Lazarus Group, по нацеливанию бизнеса, связанного с криптовалютой. Их основная цель — украсть криптовалюту, чтобы обойти международные санкции, которые препятствуют росту их экономики и устремлений.