Kandykorn Malware
கொரியா ஜனநாயக மக்கள் குடியரசின் (DPRK) அரசாங்கத்தால் ஆதரிக்கப்படும் சைபர் தாக்குதல் செய்பவர்கள், செய்தியிடல் தளமான டிஸ்கார்ட் மூலம் குறிப்பிடப்படாத கிரிப்டோகரன்சி பரிமாற்ற தளத்துடன் தொடர்புடைய பிளாக்செயின் நிபுணர்களை குறிவைப்பதாக அடையாளம் காணப்பட்டுள்ளனர். அவர்கள் KANDYKORN எனப்படும் புதிய macOS தீம்பொருளைப் பயன்படுத்தியுள்ளனர். இந்த அச்சுறுத்தும் நடவடிக்கை ஏப்ரல் 2023ல் இருந்து கண்டறியப்பட்டு, நெட்வொர்க் உள்கட்டமைப்பு மற்றும் பயன்படுத்தப்பட்ட தந்திரோபாயங்களை ஆய்வு செய்வதன் மூலம், லாசரஸ் குரூப் எனப்படும் மோசமான ஹேக்கிங் குழுவுடன் ஒற்றுமையைப் பகிர்ந்து கொள்கிறது.
தாக்குபவர்கள், இலக்கு வைக்கப்பட்ட சூழலில் ஒரு ஆரம்ப நிலைப்பாட்டை நிறுவ பைதான் பயன்பாட்டைப் பயன்படுத்தி பிளாக்செயின் நிபுணர்களை கவர்ந்தனர். ஊடுருவல் பல சிக்கலான கட்டங்களைக் கொண்டிருந்தது, ஒவ்வொன்றும் கண்டறிதலைத் தவிர்ப்பதற்கும் பாதுகாப்பு நடவடிக்கைகளைத் தவிர்ப்பதற்கும் வேண்டுமென்றே நுட்பங்களை உள்ளடக்கியது.
கண்டிகோர்ன் மால்வேரைப் பயன்படுத்த அச்சுறுத்தல் நடிகர்கள் சமூக-பொறியியல் கவர்ச்சிகளைப் பயன்படுத்தினர்
MacOS மால்வேரை Lazarus குழுமம் தங்கள் செயல்பாடுகளில் பயன்படுத்துவது சமீபத்திய வளர்ச்சியல்ல. கடந்த ஆண்டில், இந்த அச்சுறுத்தல் நடிகர் ஒரு சிதைந்த PDF பயன்பாட்டைப் பரப்புவதைக் கவனித்தார், இது இறுதியில் AppleScript அடிப்படையிலான பின்கதவான RustBucket ஐப் பயன்படுத்த வழிவகுத்தது. ரஸ்ட்பக்கெட் தொலை சேவையகத்திலிருந்து இரண்டாம் கட்ட பேலோடை மீட்டெடுக்கும் திறனைக் கொண்டிருந்தது.
பொது டிஸ்கார்ட் சர்வரில் பிளாக்செயின் பொறியாளர்களாகக் காட்டிக் கொள்வதும், தீங்கிழைக்கும் குறியீட்டைக் கொண்ட ZIP காப்பகத்தைப் பதிவிறக்கம் செய்து செயல்படுத்தும் வகையில் பாதிக்கப்பட்டவர்களை ஏமாற்ற சமூகப் பொறியியல் நுட்பங்களைப் பயன்படுத்துவதும் தாக்குபவர்களின் தந்திரம் புதிய பிரச்சாரத்தை வேறுபடுத்துகிறது.
பாதிக்கப்பட்டவர்கள் தாங்கள் ஒரு ஆர்பிட்ரேஜ் போட்டை நிறுவுகிறார்கள் என்று நம்ப வைக்கப்படுகிறார்கள், இது ஒரு மென்பொருள் கருவியாகும், இது ப்ளாட்ஃபார்ம்களில் உள்ள கிரிப்டோகரன்சி விகிதங்களில் உள்ள வேறுபாடுகளை லாபத்திற்காகப் பயன்படுத்துகிறது. உண்மையில், இந்த ஏமாற்றும் செயல்முறை KANDYKORN இன் விநியோகத்திற்கான களத்தை அமைக்கிறது, இது ஐந்து-நிலை முன்னேற்றத்தின் மூலம் வெளிப்படுகிறது.
பல-நிலை தொற்று சங்கிலி கண்டிகார்ன் மால்வேர் தொற்றுக்கு உதவுகிறது
KANDYKORN என்பது ஒரு அதிநவீன உள்வைப்பைக் குறிக்கிறது, இது கண்காணிப்பு, தொடர்பு மற்றும் கண்டறிதலைத் தவிர்ப்பதற்காக வடிவமைக்கப்பட்ட பரந்த அளவிலான செயல்பாடுகளைக் கொண்டுள்ளது. இது பிரதிபலிப்பு ஏற்றுதலைப் பயன்படுத்துகிறது, இது நேரடி-நினைவக செயல்பாட்டின் ஒரு முறையாகும், இது கண்டறிதல் வழிமுறைகளைத் தவிர்க்கலாம்.
இந்தச் செயல்பாட்டின் ஆரம்பப் படியானது 'watcher.py' எனப்படும் பைதான் ஸ்கிரிப்டை உள்ளடக்கியது, இது Google இயக்ககத்தில் ஹோஸ்ட் செய்யப்பட்ட 'testSpeed.py' என்ற மற்றொரு பைதான் ஸ்கிரிப்டை மீட்டெடுக்கிறது. இந்த இரண்டாவது பைதான் ஸ்கிரிப்ட் ஒரு துளிசொட்டியாகச் செயல்படுகிறது மேலும் 'FinderTools' என்ற பெயரிடப்பட்ட Google Drive URL இலிருந்து கூடுதல் பைதான் கோப்பைப் பெறுகிறது.
FinderTools ஒரு துளிசொட்டியாகவும் செயல்படுகிறது, இது 'SUGARLOADER' (/Users/shared/.sld மற்றும் .log இல் அமைந்துள்ளது) என குறிப்பிடப்படும் மறைக்கப்பட்ட இரண்டாம்-நிலை பேலோடை பதிவிறக்கம் செய்து செயல்படுத்தும் பொறுப்பாகும். SUGARLOADER பின்னர் KANDYKORN ஐ மீட்டெடுக்க தொலை சேவையகத்துடன் ஒரு இணைப்பை நிறுவி அதை நேரடியாக நினைவகத்தில் செயல்படுத்துகிறது.
'HLOADER' எனப்படும் சுய-கையொப்பமிடப்பட்ட ஸ்விஃப்ட் அடிப்படையிலான பைனரியை அறிமுகப்படுத்துவதன் மூலம் SUGARLOADER கூடுதல் பங்கை வகிக்கிறது, இது முறையான டிஸ்கார்ட் பயன்பாடாக மாறுவேடமிட்டு '.log' (அதாவது, SUGARLOADER) செயல்படுத்த முயற்சிக்கிறது. ஓட்டம் கடத்தல்.
KANDYKORN, இறுதிப் பேலோடாகச் செயல்படுகிறது, இது முழு அம்சம் கொண்ட நினைவக-குடியிருப்பு தொலைநிலை அணுகல் ட்ரோஜன் (RAT) ஆகும், இது கோப்புக் கணக்கீடு, துணை மால்வேரை இயக்குதல், தரவுகளை வெளியேற்றுதல், செயல்முறைகளை நிறுத்துதல் மற்றும் தன்னிச்சையான கட்டளைகளைச் செயல்படுத்துதல் ஆகியவற்றுக்கான உள்ளார்ந்த திறன்களைக் கொண்டுள்ளது.
KANDYKORN இன் இருப்பு DPRK இன் தொடர்ச்சியான முயற்சிகளை அடிக்கோடிட்டுக் காட்டுகிறது, குறிப்பாக Lazarus குழு போன்ற நிறுவனங்கள் மூலம், Cryptocurrency தொடர்பான வணிகங்களை குறிவைக்க. அவர்களின் பொருளாதாரம் மற்றும் அபிலாஷைகளின் வளர்ச்சியைத் தடுக்கும் சர்வதேச தடைகளைத் தவிர்ப்பதற்காக கிரிப்டோகரன்சியைத் திருடுவது அவர்களின் முதன்மை நோக்கம்.
