มัลแวร์ Kandykorn

ผู้โจมตีทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐบาลสาธารณรัฐประชาธิปไตยประชาชนเกาหลี (DPRK) ได้รับการระบุว่ากำหนดเป้าหมายไปที่ผู้เชี่ยวชาญด้านบล็อกเชนที่เกี่ยวข้องกับแพลตฟอร์มแลกเปลี่ยนสกุลเงินดิจิทัลที่ไม่ระบุรายละเอียด ผ่านทางแพลตฟอร์มการรับส่งข้อความ Discord พวกเขาใช้มัลแวร์ macOS ตัวใหม่ที่เรียกว่า KANDYKORN การดำเนินการคุกคามนี้สามารถย้อนกลับไปได้ในเดือนเมษายน 2023 และมีความคล้ายคลึงกับกลุ่มแฮ็กเกอร์ชื่อดังที่รู้จักกันในชื่อ Lazarus Group ตามที่ระบุโดยการตรวจสอบโครงสร้างพื้นฐานเครือข่ายและกลยุทธ์ที่ใช้

ผู้โจมตีล่อลวงผู้เชี่ยวชาญด้านบล็อกเชนโดยใช้แอปพลิเคชัน Python เพื่อสร้างฐานเริ่มต้นภายในสภาพแวดล้อมเป้าหมาย การบุกรุกประกอบด้วยขั้นตอนที่ซับซ้อนหลายขั้นตอน โดยแต่ละขั้นตอนจะใช้เทคนิคที่จงใจเพื่อหลบเลี่ยงการตรวจจับและเลี่ยงมาตรการรักษาความปลอดภัย

ผู้คุกคามใช้เหยื่อล่อวิศวกรรมสังคมเพื่อติดตั้งมัลแวร์ Kandykorn

การใช้มัลแวร์ macOS ในการดำเนินงานของ Lazarus Group ไม่ใช่การพัฒนาล่าสุด ในปีที่ผ่านมา พบว่าผู้คุกคามรายนี้เผยแพร่แอปพลิเคชัน PDF ที่ถูกดัดแปลง ซึ่งในที่สุดก็นำไปสู่การปรับใช้ RustBucket ซึ่งเป็นแบ็คดอร์ที่ใช้ AppleScript RustBucket มีความสามารถในการดึงข้อมูลเพย์โหลดระยะที่สองจากเซิร์ฟเวอร์ระยะไกล

สิ่งที่ทำให้แคมเปญใหม่แตกต่างออกไปคือกลยุทธ์ของผู้โจมตีในการวางตัวเป็นวิศวกรบล็อคเชนบนเซิร์ฟเวอร์ Discord สาธารณะ และใช้เทคนิควิศวกรรมสังคมเพื่อหลอกลวงเหยื่อให้ดาวน์โหลดและดำเนินการไฟล์ ZIP ที่มีโค้ดที่เป็นอันตราย

เหยื่อถูกทำให้เชื่อว่าพวกเขากำลังติดตั้งบอทเก็งกำไร ซึ่งเป็นเครื่องมือซอฟต์แวร์ที่สามารถใช้ประโยชน์จากความแตกต่างของอัตราสกุลเงินดิจิตอลข้ามแพลตฟอร์มเพื่อหาผลกำไร ในความเป็นจริง กระบวนการหลอกลวงนี้เป็นการปูทางสำหรับการส่งมอบกันดีกรณ์ ซึ่งดำเนินไปในห้าขั้นตอน

ห่วงโซ่การติดเชื้อแบบหลายขั้นตอนช่วยอำนวยความสะดวกในการติดเชื้อมัลแวร์ Kandykorn

KANDYKORN เป็นตัวแทนของการปลูกถ่ายที่ซับซ้อนซึ่งมีฟังก์ชันการทำงานที่หลากหลายซึ่งออกแบบมาเพื่อการตรวจสอบ การโต้ตอบ และการหลบเลี่ยงการตรวจจับ ใช้การโหลดแบบสะท้อน ซึ่งเป็นวิธีการดำเนินการหน่วยความจำโดยตรงที่อาจหลบเลี่ยงกลไกการตรวจจับได้

ขั้นตอนเริ่มต้นในกระบวนการนี้เกี่ยวข้องกับสคริปต์ Python หรือที่เรียกว่า 'watcher.py' ซึ่งจะดึงสคริปต์ Python อื่น 'testSpeed.py' ที่โฮสต์บน Google Drive สคริปต์ Python ตัวที่สองนี้ทำหน้าที่เป็นหยดและดึงไฟล์ Python เพิ่มเติมจาก URL ของ Google Drive ชื่อ 'FinderTools'

FinderTools ยังทำหน้าที่เป็นตัวหยดซึ่งรับผิดชอบในการดาวน์โหลดและดำเนินการเพย์โหลดขั้นที่สองที่ซ่อนอยู่ซึ่งเรียกว่า 'SUGARLOADER' (อยู่ที่ /Users/shared/.sld และ .log) SUGARLOADER จะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลในเวลาต่อมาเพื่อดึงข้อมูล KANDYKORN และดำเนินการในหน่วยความจำโดยตรง

SUGARLOADER มีบทบาทเพิ่มเติมด้วยการเปิดตัวไบนารี Swift ที่ลงชื่อด้วยตนเองชื่อ 'HLOADER' ซึ่งพยายามปลอมแปลงเป็นแอปพลิเคชัน Discord ที่ถูกต้องตามกฎหมาย และดำเนินการ '.log' (เช่น SUGARLOADER) เพื่อให้บรรลุความคงอยู่ผ่านเทคนิคที่เรียกว่าการดำเนินการ การหักหลังการไหล

KANDYKORN ซึ่งทำหน้าที่เป็นเพย์โหลดขั้นสูงสุดคือ Remote Access Trojan (RAT) ที่มีคุณลักษณะครบถ้วนในหน่วยความจำ พร้อมด้วยความสามารถโดยธรรมชาติสำหรับการแจงนับไฟล์ การเรียกใช้มัลแวร์เสริม การกรองข้อมูล การยกเลิกกระบวนการ และการดำเนินการคำสั่งที่กำหนดเอง

การปรากฏตัวของ KANDYKORN ตอกย้ำถึงความพยายามอย่างต่อเนื่องของ DPRK โดยเฉพาะอย่างยิ่งผ่านทางหน่วยงานเช่น Lazarus Group เพื่อกำหนดเป้าหมายธุรกิจที่เกี่ยวข้องกับสกุลเงินดิจิทัล วัตถุประสงค์หลักของพวกเขาคือการขโมยสกุลเงินดิจิตอลเพื่อหลีกเลี่ยงการคว่ำบาตรระหว่างประเทศที่ขัดขวางการเติบโตของเศรษฐกิจและแรงบันดาลใจของพวกเขา