Kandykorn Malware
Ang mga cyber attacker na suportado ng gobyerno ng Democratic People's Republic of Korea (DPRK) ay natukoy na nagta-target ng mga eksperto sa blockchain na nauugnay sa isang hindi natukoy na platform ng palitan ng cryptocurrency sa pamamagitan ng messaging platform na Discord. Gumamit sila ng bagong macOS malware na tinatawag na KANDYKORN. Ang nagbabantang operasyong ito ay maaaring masubaybayan noong Abril 2023 at may mga pagkakatulad sa kilalang grupo sa pag-hack na kilala bilang Lazarus Group , gaya ng isinasaad ng pagsusuri sa imprastraktura ng network at mga taktika na ginamit.
Ang mga umaatake ay naengganyo ang mga propesyonal sa blockchain gamit ang isang Python application upang magtatag ng isang paunang foothold sa loob ng target na kapaligiran. Ang panghihimasok ay binubuo ng maraming masalimuot na yugto, kung saan ang bawat isa ay nagsasama ng mga sinasadyang pamamaraan upang maiwasan ang pagtuklas at laktawan ang mga hakbang sa seguridad.
Gumamit ang Mga Aktor ng Banta sa Social-Engineering Lures para I-deploy ang Kandykorn Malware
Ang paggamit ng Lazarus Group ng macOS malware sa kanilang mga operasyon ay hindi isang kamakailang pag-unlad. Noong nakaraang taon, napagmasdan ang banta na aktor na ito na nagpapakalat ng na-tamper na PDF application, na kalaunan ay humantong sa pag-deploy ng RustBucket, isang backdoor batay sa AppleScript. Ang RustBucket ay may kakayahan na kumuha ng pangalawang yugto ng kargamento mula sa isang malayong server.
Ang nagpapakilala sa bagong kampanya ay ang taktika ng umaatake na magpanggap bilang mga inhinyero ng blockchain sa isang pampublikong server ng Discord at gumamit ng mga diskarte sa social engineering upang linlangin ang mga biktima sa pag-download at pag-execute ng ZIP archive na naglalaman ng malisyosong code.
Pinaniwalaan ang mga biktima na nag-i-install sila ng arbitrage bot, isang software tool na maaaring pagsamantalahan ang mga pagkakaiba sa mga rate ng cryptocurrency sa mga platform para kumita. Sa katotohanan, ang mapanlinlang na prosesong ito ay nagtatakda ng yugto para sa paghahatid ng KANDYKORN, na nagbubukas sa pamamagitan ng limang yugto ng pag-unlad.
Pinapadali ng Multi-Stage Infection Chain ang Kandykorn Malware Infection
Ang KANDYKORN ay kumakatawan sa isang sopistikadong implant na pinagkalooban ng malawak na hanay ng mga functionality na idinisenyo para sa pagsubaybay, pakikipag-ugnayan, at pag-iwas sa pagtuklas. Gumagamit ito ng reflective loading, isang paraan ng direktang-memory execution na posibleng makaiwas sa mga mekanismo ng pagtuklas.
Ang unang hakbang sa prosesong ito ay nagsasangkot ng Python script, na kilala bilang 'watcher.py,' na kumukuha ng isa pang Python script, 'testSpeed.py,' na naka-host sa Google Drive. Ang pangalawang script ng Python na ito ay gumaganap bilang isang dropper at kumukuha ng karagdagang Python file mula sa isang URL ng Google Drive, na pinangalanang 'FinderTools.'
Nagsisilbi rin ang FinderTools bilang isang dropper, na responsable sa pag-download at pagpapatupad ng isang nakatagong kargamento sa ikalawang yugto na tinutukoy bilang 'SUGARLOADER' (matatagpuan sa /Users/shared/.sld at .log). Ang SUGARLOADER ay magkakasunod na nagtatatag ng isang koneksyon sa isang malayong server upang makuha ang KANDYKORN at isagawa ito nang direkta sa memorya.
Ang SUGARLOADER ay may karagdagang tungkulin sa pamamagitan ng paglulunsad ng isang binary na nakabatay sa Swift sa sarili na nilagdaan na tinatawag na 'HLOADER,' na nagtatangkang magpanggap bilang lehitimong Discord application at magsagawa ng '.log' (ibig sabihin, SUGARLOADER) upang makamit ang pagtitiyaga sa pamamagitan ng pamamaraan na kilala bilang execution pag-hijack ng daloy.
Ang KANDYKORN, na nagsisilbing ultimate payload, ay isang ganap na tampok na memory-resident Remote Access Trojan (RAT) na may likas na kakayahan para sa pag-enumeration ng file, pagpapatakbo ng karagdagang malware, pag-exfiltrate ng data, pagwawakas ng mga proseso, at pagpapatupad ng mga arbitrary na command.
Ang presensya ng KANDYKORN ay binibigyang-diin ang patuloy na pagsisikap ng DPRK, partikular sa pamamagitan ng mga entity tulad ng Lazarus Group, upang i-target ang mga negosyong nauugnay sa cryptocurrency. Ang kanilang pangunahing layunin ay magnakaw ng cryptocurrency upang iwasan ang mga internasyonal na parusa na humahadlang sa paglago ng kanilang ekonomiya at mga adhikain.
