Kandykorn Malware

డెమొక్రాటిక్ పీపుల్స్ రిపబ్లిక్ ఆఫ్ కొరియా (DPRK) ప్రభుత్వంచే మద్దతు ఉన్న సైబర్ దాడి చేసేవారు మెసేజింగ్ ప్లాట్‌ఫారమ్ డిస్కార్డ్ ద్వారా పేర్కొనబడని క్రిప్టోకరెన్సీ ఎక్స్ఛేంజ్ ప్లాట్‌ఫారమ్‌తో అనుబంధించబడిన బ్లాక్‌చెయిన్ నిపుణులను లక్ష్యంగా చేసుకున్నట్లు గుర్తించారు. వారు KANDYKORN అనే కొత్త macOS మాల్వేర్‌ని ఉపయోగించారు. ఈ బెదిరింపు ఆపరేషన్ ఏప్రిల్ 2023 నాటిది మరియు Lazarus గ్రూప్ అని పిలువబడే అపఖ్యాతి పాలైన హ్యాకింగ్ గ్రూప్‌తో సారూప్యతలను పంచుకుంటుంది, నెట్‌వర్క్ అవస్థాపన మరియు ఉపయోగించిన వ్యూహాల పరిశీలన ద్వారా సూచించబడింది.

దాడి చేసేవారు లక్ష్యంగా ఉన్న వాతావరణంలో ఒక ప్రారంభ స్థాపనను స్థాపించడానికి పైథాన్ అప్లికేషన్‌ను ఉపయోగించి బ్లాక్‌చెయిన్ నిపుణులను ప్రలోభపెట్టారు. చొరబాటు అనేక క్లిష్టమైన దశలను కలిగి ఉంటుంది, ప్రతి ఒక్కటి గుర్తించకుండా తప్పించుకోవడానికి మరియు భద్రతా చర్యలను దాటవేయడానికి ఉద్దేశపూర్వక పద్ధతులను కలిగి ఉంటుంది.

బెదిరింపు నటులు కాండీకార్న్ మాల్వేర్‌ను అమలు చేయడానికి సామాజిక-ఇంజనీరింగ్ ఎరలను ఉపయోగించారు

Lazarus గ్రూప్ వారి కార్యకలాపాలలో MacOS మాల్వేర్‌ను ఉపయోగించడం ఇటీవలి అభివృద్ధి కాదు. గత సంవత్సరంలో, ఈ బెదిరింపు నటుడు తారుమారు చేయబడిన PDF అప్లికేషన్‌ను వ్యాప్తి చేయడం గమనించబడింది, ఇది చివరికి AppleScript ఆధారంగా బ్యాక్‌డోర్ అయిన RustBucket యొక్క విస్తరణకు దారితీసింది. రస్ట్‌బకెట్ రిమోట్ సర్వర్ నుండి రెండవ-దశ పేలోడ్‌ను తిరిగి పొందగల సామర్థ్యాన్ని కలిగి ఉంది.

పబ్లిక్ డిస్కార్డ్ సర్వర్‌లో బ్లాక్‌చెయిన్ ఇంజనీర్లుగా నటిస్తూ, హానికరమైన కోడ్‌ను కలిగి ఉన్న జిప్ ఆర్కైవ్‌ను డౌన్‌లోడ్ చేయడం మరియు అమలు చేయడం ద్వారా బాధితులను మోసం చేయడానికి సోషల్ ఇంజనీరింగ్ టెక్నిక్‌లను ఉపయోగించడం అనే దాడి చేసేవారి వ్యూహం కొత్త ప్రచారాన్ని వేరు చేస్తుంది.

బాధితులు తాము ఆర్బిట్రేజ్ బాట్‌ని ఇన్‌స్టాల్ చేస్తున్నామని నమ్ముతారు, ఇది లాభదాయకత కోసం ప్లాట్‌ఫారమ్‌లలో క్రిప్టోకరెన్సీ రేట్లలో తేడాలను ఉపయోగించుకునే సాఫ్ట్‌వేర్ సాధనం. వాస్తవానికి, ఈ మోసపూరిత ప్రక్రియ KANDYKORN యొక్క డెలివరీకి వేదికను నిర్దేశిస్తుంది, ఇది ఐదు-దశల పురోగతి ద్వారా విప్పుతుంది.

ఒక బహుళ-దశల ఇన్ఫెక్షన్ చైన్ క్యాండీకార్న్ మాల్వేర్ ఇన్ఫెక్షన్‌ను సులభతరం చేస్తుంది

KANDYKORN అనేది ఒక అధునాతన ఇంప్లాంట్‌ని సూచిస్తుంది, ఇది పర్యవేక్షణ, పరస్పర చర్య మరియు గుర్తింపును తప్పించుకోవడం కోసం రూపొందించబడిన విస్తృత శ్రేణి కార్యాచరణలతో అందించబడుతుంది. ఇది రిఫ్లెక్టివ్ లోడింగ్‌ను ఉపయోగిస్తుంది, ఇది డైరెక్ట్-మెమరీ ఎగ్జిక్యూషన్ పద్ధతి, ఇది డిటెక్షన్ మెకానిజమ్‌లను సమర్థవంతంగా తప్పించుకోగలదు.

ఈ ప్రక్రియలో ప్రారంభ దశలో 'watcher.py' అని పిలువబడే పైథాన్ స్క్రిప్ట్ ఉంటుంది, ఇది Google డిస్క్‌లో హోస్ట్ చేయబడిన మరొక పైథాన్ స్క్రిప్ట్, 'testSpeed.py'ని తిరిగి పొందుతుంది. ఈ రెండవ పైథాన్ స్క్రిప్ట్ డ్రాపర్‌గా పని చేస్తుంది మరియు Google డిస్క్ URL నుండి 'FinderTools' పేరుతో అదనపు పైథాన్ ఫైల్‌ను పొందుతుంది.

FinderTools ఒక డ్రాపర్‌గా కూడా పనిచేస్తుంది, 'SUGARLOADER' (/Users/shared/.sld మరియు .log వద్ద ఉంది)గా సూచించబడే రహస్య రెండవ-దశ పేలోడ్‌ని డౌన్‌లోడ్ చేయడం మరియు అమలు చేయడం బాధ్యత. SUGARLOADER తదనంతరం KANDYKORNని తిరిగి పొందడానికి మరియు మెమరీలో నేరుగా అమలు చేయడానికి రిమోట్ సర్వర్‌తో కనెక్షన్‌ని ఏర్పాటు చేస్తుంది.

SUGARLOADER స్వీయ సంతకం చేసిన 'HLOADER' అనే స్విఫ్ట్-ఆధారిత బైనరీని ప్రారంభించడం ద్వారా అదనపు పాత్రను పోషిస్తుంది, ఇది చట్టబద్ధమైన డిస్కార్డ్ అప్లికేషన్‌గా మాస్క్వెరేడ్ చేయడానికి ప్రయత్నిస్తుంది మరియు '.log' (అంటే, SUGARLOADER) అమలు చేయడం ద్వారా ఎగ్జిక్యూషన్ అని పిలువబడే సాంకేతికత ద్వారా నిలకడను సాధించడానికి ప్రయత్నిస్తుంది. ప్రవాహం హైజాకింగ్.

KANDYKORN, అంతిమ పేలోడ్‌గా పనిచేస్తుంది, ఇది ఫైల్ గణన, అనుబంధ మాల్వేర్‌లను అమలు చేయడం, డేటాను వెలికితీయడం, ప్రక్రియలను ముగించడం మరియు ఏకపక్ష ఆదేశాలను అమలు చేయడం వంటి వాటి కోసం స్వాభావిక సామర్థ్యాలతో కూడిన పూర్తి ఫీచర్ చేయబడిన మెమరీ-రెసిడెంట్ రిమోట్ యాక్సెస్ ట్రోజన్ (RAT).

KANDYKORN యొక్క ఉనికి DPRK యొక్క నిరంతర ప్రయత్నాలను నొక్కి చెబుతుంది, ముఖ్యంగా లాజరస్ గ్రూప్ వంటి సంస్థల ద్వారా క్రిప్టోకరెన్సీ-సంబంధిత వ్యాపారాలను లక్ష్యంగా చేసుకోవడానికి. వారి ఆర్థిక వ్యవస్థ మరియు ఆకాంక్షల వృద్ధికి ఆటంకం కలిగించే అంతర్జాతీయ ఆంక్షలను అధిగమించడానికి క్రిప్టోకరెన్సీని దొంగిలించడం వారి ప్రాథమిక లక్ష్యం.