Kandykorn Malware

Сајбер нападачи које подржава влада Демократске Народне Републике Кореје (ДНРК) идентификовани су као циљани стручњаци за блокчејн повезане са неодређеном платформом за размену криптовалута преко платформе за размену порука Дисцорд. Упослили су нови мацОС малвер под називом КАНДИКОРН. Ова претећа операција може се пратити до априла 2023. и дели сличности са озлоглашеном хакерском групом познатом као Лазарус Гроуп , што показује испитивање мрежне инфраструктуре и коришћене тактике.

Нападачи су намамили блоцкцхаин професионалце користећи Питхон апликацију да успоставе почетно упориште унутар циљаног окружења. Упад се састојао од више сложених фаза, од којих је свака укључивала намерне технике за избегавање откривања и заобилажење безбедносних мера.

Актери претњи су користили мамце друштвеног инжењеринга да би применили злонамерни софтвер Кандикорн

Коришћење мацОС малвера од стране Лазарус групе у својим операцијама није новијег датума. У протеклој години, примећен је овај актер претњи како шири неовлашћену ПДФ апликацију, што је на крају довело до примене РустБуцкет-а, бацкдоор-а заснованог на АпплеСцрипт-у. РустБуцкет је имао могућност да преузме корисни терет друге фазе са удаљеног сервера.

Оно што издваја нову кампању јесте тактика нападача да се представља као инжењери блокчејн-а на јавном Дисцорд серверу и користи технике друштвеног инжењеринга како би преварила жртве да преузму и изврше ЗИП архиву која садржи злонамерни код.

Жртве су натеране да верују да инсталирају арбитражног бота, софтверски алат који може да искористи разлике у курсевима криптовалута на различитим платформама за профит. У стварности, овај обмањујући процес поставља сцену за испоруку КАНДИКОРН-а, која се одвија кроз петостепену прогресију.

Вишестепени ланац инфекције олакшава инфекцију злонамерним софтвером Кандикорн

КАНДИКОРН представља софистицирани имплантат са широким спектром функционалности дизајнираних за праћење, интеракцију и избегавање детекције. Користи рефлективно оптерећење, метод извршавања директног меморије који потенцијално може избећи механизме детекције.

Почетни корак у овом процесу укључује Питхон скрипту, познату као „ватцхер.пи“, која преузима другу Питхон скрипту, „тестСпеед.пи“, која се налази на Гоогле диску. Ова друга Питхон скрипта делује као дроппер и преузима додатну Питхон датотеку са УРЛ адресе Гоогле диска под називом „ФиндерТоолс“.

ФиндерТоолс такође служи као дроппер, одговоран за преузимање и извршавање скривеног корисног оптерећења друге фазе који се назива 'СУГАРЛОАДЕР' (налази се на /Усерс/схаред/.слд и .лог). СУГАРЛОАДЕР накнадно успоставља везу са удаљеним сервером да преузме КАНДИКОРН и изврши га директно у меморији.

СУГАРЛОАДЕР преузима додатну улогу покретањем самопотписаног бинарног фајла заснованог на Свифт-у под називом „ХЛОАДЕР“, који покушава да се маскира као легитимна Дисцорд апликација и изврши „.лог“ (тј. СУГАРЛОАДЕР) да би постигао постојаност кроз технику познату као извршење отмица тока.

КАНДИКОРН, који служи као крајњи корисни терет, је тројанац за даљински приступ (РАТ) са резидентним у меморији, са инхерентним могућностима за набрајање датотека, покретање додатног малвера, ексфилтрирање података, завршетак процеса и извршавање произвољних команди.

Присуство КАНДИКОРН-а наглашава сталне напоре ДНРК-а, посебно преко ентитета као што је Лазарус Гроуп, да циља послове у вези са криптовалутама. Њихов примарни циљ је да украду криптовалуте како би заобишли међународне санкције које ометају раст њихове економије и аспирација.