Kandykorn Malware

Kibernetski napadalci, ki jih podpira vlada Demokratične ljudske republike Koreje (DPRK), so bili identificirani kot ciljni strokovnjaki za blockchain, povezani z nedoločeno platformo za izmenjavo kriptovalut prek platforme za sporočanje Discord. Uporabili so novo zlonamerno programsko opremo za macOS, imenovano KANDYKORN. Tej grozeči operaciji je mogoče slediti nazaj do aprila 2023 in ima podobnosti z zloglasno hekersko skupino, znano kot skupina Lazarus , kot je razvidno iz pregleda omrežne infrastrukture in uporabljenih taktik.

Napadalci so premamili strokovnjake za blockchain z uporabo aplikacije Python, da bi vzpostavili začetno oporo v ciljnem okolju. Vdor je bil sestavljen iz več zapletenih faz, od katerih je vsaka vključevala namerne tehnike za izogibanje odkrivanju in zaobiti varnostne ukrepe.

Akterji groženj so za namestitev zlonamerne programske opreme Kandykorn uporabili vabe družbenega inženiringa

Uporaba zlonamerne programske opreme macOS pri poslovanju skupine Lazarus ni nedavni razvoj. V preteklem letu so opazili, da je ta akter grožnje razširjal spremenjeno aplikacijo PDF, kar je sčasoma vodilo do uvedbe RustBucket, stranskih vrat, ki temeljijo na AppleScript. RustBucket je imel zmožnost pridobivanja tovora druge stopnje z oddaljenega strežnika.

Kar razlikuje novo kampanjo, je napadalčeva taktika, da se predstavlja kot inženirji blockchain na javnem strežniku Discord in uporablja tehnike socialnega inženiringa, da žrtve zavedejo v prenos in izvajanje ZIP arhiva, ki vsebuje zlonamerno kodo.

Žrtve so prepričane, da nameščajo arbitražni bot, programsko orodje, ki lahko izkorišča razlike v tečajih kriptovalut med platformami za dobiček. V resnici ta zavajajoči proces postavlja temelje za dostavo KANDYKORN-a, ki se odvija skozi petstopenjsko napredovanje.

Večstopenjska veriga okužb olajša okužbo z zlonamerno programsko opremo Kandykorn

KANDYKORN predstavlja sofisticiran vsadek, ki je opremljen s široko paleto funkcionalnosti, zasnovanih za spremljanje, interakcijo in izogibanje zaznavanju. Uporablja odsevno nalaganje, metodo izvajanja neposrednega pomnilnika, ki se lahko potencialno izogne mehanizmom zaznavanja.

Začetni korak v tem procesu vključuje skript Python, znan kot »watcher.py«, ki pridobi drug skript Python, »testSpeed.py«, ki gostuje v storitvi Google Drive. Ta drugi skript Python deluje kot kapalka in pridobi dodatno datoteko Python iz URL-ja Google Drive z imenom »FinderTools«.

FinderTools služi tudi kot kapalka, ki je odgovorna za prenos in izvajanje skritega koristnega tovora druge stopnje, imenovanega "SUGARLOADER" (nahaja se na /Users/shared/.sld in .log). SUGARLOADER nato vzpostavi povezavo z oddaljenim strežnikom, da pridobi KANDYKORN in ga izvede neposredno v pomnilniku.

SUGARLOADER prevzame dodatno vlogo z zagonom samopodpisane binarne datoteke, ki temelji na Swiftu, imenovane 'HLOADER', ki se poskuša zamaskirati kot legitimno aplikacijo Discord in izvesti '.log' (tj. SUGARLOADER), da doseže obstojnost s tehniko, znano kot izvajanje ugrabitev toka.

KANDYKORN, ki služi kot ultimativni koristni tovor, je popolnoma opremljen pomnilniški trojanec za oddaljeni dostop (RAT) z inherentnimi zmogljivostmi za oštevilčenje datotek, izvajanje dodatne zlonamerne programske opreme, izločanje podatkov, prekinitev procesov in izvajanje poljubnih ukazov.

Prisotnost KANDYKORN-a poudarja nenehna prizadevanja DLRK, zlasti prek subjektov, kot je skupina Lazarus, za ciljanje na podjetja, povezana s kriptovalutami. Njihov glavni cilj je ukrasti kriptovalute, da bi se izognili mednarodnim sankcijam, ki ovirajo rast njihovega gospodarstva in želja.