Kandykorn Malware

Cyberangripare som stöds av regeringen i Demokratiska Folkrepubliken Korea (DPRK) har identifierats som inriktade på blockkedjeexperter associerade med en ospecificerad kryptovalutautbytesplattform genom meddelandeplattformen Discord. De har använt en ny macOS skadlig kod som heter KANDYKORN. Denna hotfulla operation kan spåras tillbaka till april 2023 och delar likheter med den ökända hackergruppen känd som Lazarus Group , vilket indikeras av en undersökning av nätverksinfrastrukturen och den använda taktiken.

Angriparna lockade blockchain-proffs som använde en Python-applikation för att etablera ett första fotfäste inom den riktade miljön. Intrånget bestod av flera intrikata faser, där var och en innehåller medvetna tekniker för att undvika upptäckt och kringgå säkerhetsåtgärder.

Hotaktörerna använde socialtekniska lockelser för att distribuera Kandykorn Malware

Lazarus Groups användning av macOS skadlig kod i sin verksamhet är inte en ny utveckling. Under det senaste året observerades denna hotaktör sprida en manipulerad PDF-applikation, vilket så småningom ledde till utplaceringen av RustBucket, en bakdörr baserad på AppleScript. RustBucket hade förmågan att hämta en nyttolast i andra steg från en fjärrserver.

Det som utmärker den nya kampanjen är angriparens taktik att utge sig för blockchain-ingenjörer på en offentlig Discord-server och använda sociala ingenjörstekniker för att lura offren att ladda ner och köra ett ZIP-arkiv som innehåller skadlig kod.

Offren fås att tro att de installerar en arbitrage-bot, ett mjukvaruverktyg som kan utnyttja skillnader i kryptovaluta på olika plattformar för vinst. I verkligheten sätter denna vilseledande process scenen för leveransen av KANDYKORN, som utvecklas genom en femstegs progression.

En infektionskedja i flera steg underlättar Kandykorns infektion med skadlig programvara

KANDYKORN representerar ett sofistikerat implantat utrustat med ett brett utbud av funktioner designade för övervakning, interaktion och undvikande av upptäckt. Den använder reflekterande laddning, en metod för direktminnesexekvering som potentiellt kan undvika detekteringsmekanismer.

Det första steget i denna process involverar ett Python-skript, känt som 'watcher.py', som hämtar ett annat Python-skript, 'testSpeed.py' som finns på Google Drive. Detta andra Python-skript fungerar som en droppe och hämtar ytterligare en Python-fil från en Google Drive-URL, som heter "FinderTools".

FinderTools fungerar också som en dropper, ansvarig för nedladdning och exekvering av en dold nyttolast i andra steg som kallas 'SUGARLOADER' (finns på /Users/shared/.sld och .log). SUGARLOADER upprättar därefter en anslutning med en fjärrserver för att hämta KANDYKORN och exekvera den direkt i minnet.

SUGARLOADER tar på sig en ytterligare roll genom att lansera en självsignerad Swift-baserad binär som heter 'HLOADER', som försöker maskera sig som den legitima Discord-applikationen och köra '.log' (dvs. SUGARLOADER) för att uppnå uthållighet genom en teknik som kallas execution flödeskapning.

KANDYKORN, som fungerar som den ultimata nyttolasten, är en fullfjädrad minnesresident Remote Access Trojan (RAT) med inneboende möjligheter för filuppräkning, körning av kompletterande skadlig programvara, exfiltrerande data, avslutande av processer och exekvering av godtyckliga kommandon.

Närvaron av KANDYKORN understryker Nordkoreas kontinuerliga ansträngningar, särskilt genom enheter som Lazarus Group, för att rikta in sig på kryptovalutarelaterade företag. Deras primära mål är att stjäla kryptovaluta för att kringgå internationella sanktioner som hindrar tillväxten av deras ekonomi och ambitioner.