Kandykorn Malware
Sulmuesit kibernetikë të mbështetur nga qeveria e Republikës Popullore Demokratike të Koresë (DPRK) janë identifikuar se synojnë ekspertë të blockchain të lidhur me një platformë të paspecifikuar të shkëmbimit të kriptomonedhave përmes platformës së mesazheve Discord. Ata kanë përdorur një malware të ri macOS të quajtur KANDYKORN. Ky operacion kërcënues mund të gjurmohet në prill të vitit 2023 dhe ka ngjashmëri me grupin famëkeq të hakerëve të njohur si Grupi Lazarus , siç tregohet nga një ekzaminim i infrastrukturës së rrjetit dhe taktikave të përdorura.
Sulmuesit joshën profesionistët e blockchain duke përdorur një aplikacion Python për të krijuar një bazë fillestare brenda mjedisit të synuar. Ndërhyrja përbëhej nga faza të shumta të ndërlikuara, ku secila përfshinte teknika të qëllimshme për të shmangur zbulimin dhe anashkalimin e masave të sigurisë.
Aktorët e Kërcënimit përdorën joshjet e inxhinierisë sociale për të vendosur malware-in Kandykorn
Përdorimi i grupit Lazarus të malware macOS në operacionet e tyre nuk është një zhvillim i fundit. Vitin e kaluar, ky aktor i kërcënimit u vu re duke shpërndarë një aplikacion PDF të manipuluar, i cili përfundimisht çoi në vendosjen e RustBucket, një derë e pasme e bazuar në AppleScript. RustBucket kishte aftësinë për të tërhequr një ngarkesë të fazës së dytë nga një server në distancë.
Ajo që e dallon fushatën e re është taktika e sulmuesit për t'u paraqitur si inxhinierë blockchain në një server publik Discord dhe duke përdorur teknika të inxhinierisë sociale për të mashtruar viktimat që të shkarkojnë dhe ekzekutojnë një arkiv ZIP që përmban kod me qëllim të keq.
Viktimat janë bërë të besojnë se po instalojnë një robot arbitrazhi, një mjet softuerësh që mund të shfrytëzojë dallimet në normat e kriptomonedhave nëpër platforma për fitim. Në realitet, ky proces mashtrues shtron skenën për shpërndarjen e KANDYKORN, i cili shpaloset përmes një progresi me pesë faza.
Një zinxhir infeksioni me shumë faza lehtëson infeksionin e malware Kandykorn
KANDYKORN përfaqëson një implant të sofistikuar të pajisur me një gamë të gjerë funksionesh të krijuara për monitorimin, ndërveprimin dhe shmangien e zbulimit. Ai përdor ngarkimin reflektues, një metodë e ekzekutimit të memories direkte që mund të shmangë mekanizmat e zbulimit.
Hapi fillestar në këtë proces përfshin një skript Python, i njohur si 'watcher.py', i cili rimerr një skript tjetër Python, 'testSpeed.py', të vendosur në Google Drive. Ky skript i dytë Python vepron si pikatore dhe merr një skedar shtesë Python nga një URL e Google Drive, të quajtur 'FinderTools'.
FinderTools shërben gjithashtu si pikatore, përgjegjëse për shkarkimin dhe ekzekutimin e një ngarkese të fshehur të fazës së dytë të referuar si 'SUGARLOADER' (ndodhet në /Users/shared/.sld dhe .log). SUGARLOADER më pas krijon një lidhje me një server në distancë për të marrë KANDYKORN dhe për ta ekzekutuar atë drejtpërdrejt në memorie.
SUGARLOADER merr një rol shtesë duke lançuar një binar të vetë-nënshkruar të bazuar në Swift të quajtur 'HLOADER', i cili përpiqet të maskohet si aplikacioni legjitim Discord dhe të ekzekutojë '.log' (d.m.th., SUGARLOADER) për të arritur qëndrueshmëri nëpërmjet një teknike të njohur si ekzekutim rrëmbimi i rrjedhës.
KANDYKORN, që shërben si ngarkesa përfundimtare, është një Trojan me qasje në distancë me memorie të plotë me funksione të plota (RAT) me aftësi të natyrshme për numërimin e skedarëve, ekzekutimin e malware shtesë, nxjerrjen e të dhënave, përfundimin e proceseve dhe ekzekutimin e komandave arbitrare.
Prania e KANDYKORN nënvizon përpjekjet e vazhdueshme të DPRK-së, veçanërisht përmes subjekteve si Grupi Lazarus, për të synuar bizneset e lidhura me kriptovalutat. Objektivi i tyre kryesor është të vjedhin kriptomonedhën në mënyrë që të anashkalojnë sanksionet ndërkombëtare që pengojnë rritjen e ekonomisë dhe aspiratave të tyre.