Kandykorn Malware

Zistilo sa, že kybernetickí útočníci podporovaní vládou Kórejskej ľudovodemokratickej republiky (KĽDR) sa zameriavajú na expertov na blockchain spojený s nešpecifikovanou platformou na výmenu kryptomien prostredníctvom platformy na odosielanie správ Discord. Použili nový malvér pre macOS s názvom KANDYKORN. Túto hrozivú operáciu možno vysledovať až do apríla 2023 a má podobnosť s notoricky známou hackerskou skupinou známou ako Lazarus Group , ako naznačuje preskúmanie sieťovej infraštruktúry a použitej taktiky.

Útočníci nalákali profesionálov v oblasti blockchainu pomocou aplikácie Python, aby vytvorili počiatočnú oporu v cieľovom prostredí. Vniknutie pozostávalo z viacerých zložitých fáz, pričom každá z nich zahŕňala zámerné techniky na obídenie detekcie a obídenie bezpečnostných opatrení.

The Threat Actors použili sociálne inžinierske návnady na nasadenie malvéru Kandykorn

Využitie malvéru macOS spoločnosťou Lazarus Group vo svojich operáciách nie je nedávny vývoj. V minulom roku bol tento aktér hrozieb pozorovaný pri šírení sfalšovanej aplikácie PDF, čo nakoniec viedlo k nasadeniu RustBucket, backdooru založeného na AppleScript. RustBucket mal schopnosť získať užitočné zaťaženie druhej fázy zo vzdialeného servera.

To, čo odlišuje novú kampaň, je útočníkova taktika vystupovať ako blockchain inžinieri na verejnom serveri Discord a využívať techniky sociálneho inžinierstva na oklamanie obetí, aby si stiahli a spustili archív ZIP obsahujúci škodlivý kód.

Obete sú nútené veriť, že inštalujú arbitrážneho bota, softvérového nástroja, ktorý dokáže využiť rozdiely v kurzoch kryptomien na rôznych platformách na zisk. V skutočnosti tento klamlivý proces pripravuje pôdu pre dodávku KANDYKORN, ktorá sa rozvíja v piatich fázach.

Viacstupňový infekčný reťazec uľahčuje infekciu Kandykorn Malware

KANDYKORN predstavuje sofistikovaný implantát vybavený širokou škálou funkcií určených na monitorovanie, interakciu a obchádzanie detekcie. Využíva reflexné zaťaženie, metódu vykonávania priamej pamäte, ktorá môže potenciálne obísť detekčné mechanizmy.

Počiatočný krok v tomto procese zahŕňa skript Python, známy ako „watcher.py“, ktorý načíta ďalší skript jazyka Python, „testSpeed.py“, umiestnený na Disku Google. Tento druhý skript Pythonu funguje ako kvapkadlo a načítava ďalší súbor Python z adresy URL Disku Google s názvom „FinderTools“.

FinderTools tiež slúži ako kvapkadlo, ktoré je zodpovedné za sťahovanie a spustenie skrytého obsahu druhej fázy, ktorý sa označuje ako „SUGARLOADER“ (nachádza sa na /Users/shared/.sld a .log). SUGARLOADER následne vytvorí spojenie so vzdialeným serverom, aby získal KANDYKORN a spustil ho priamo v pamäti.

SUGARLOADER preberá ďalšiu úlohu spustením binárneho programu s vlastným podpisom na báze Swift s názvom 'HLOADER', ktorý sa pokúša zamaskovať ako legitímna aplikácia Discord a spustiť '.log' (tj SUGARLOADER), aby dosiahol vytrvalosť pomocou techniky známej ako exekúcia. tok hijacking.

KANDYKORN, ktorý slúži ako ultimátne užitočné zaťaženie, je plne vybavený trójsky kôň so vzdialeným prístupom (RAT) rezidentný v pamäti s vlastnými schopnosťami pre enumeráciu súborov, spúšťanie doplnkového malvéru, exfiltráciu údajov, ukončovanie procesov a vykonávanie ľubovoľných príkazov.

Prítomnosť KANDYKORN podčiarkuje nepretržité úsilie KĽDR, najmä prostredníctvom subjektov ako Lazarus Group, zamerať sa na podniky súvisiace s kryptomenami. Ich primárnym cieľom je ukradnúť kryptomenu s cieľom obísť medzinárodné sankcie, ktoré bránia rastu ich ekonomiky a ašpirácií.