Шкідливе програмне забезпечення Kandykorn

Кібер-зловмисники, які підтримуються урядом Корейської Народно-Демократичної Республіки (КНДР), були ідентифіковані як цільові блокчейн-експерти, пов’язані з невизначеною платформою обміну криптовалютою через платформу обміну повідомленнями Discord. Вони використали нову шкідливу програму для macOS під назвою KANDYKORN. Цю загрозливу операцію можна простежити до квітня 2023 року, і вона має схожість із сумнозвісною хакерською групою, відомою як Lazarus Group , як показало дослідження мережевої інфраструктури та використаної тактики.

Зловмисники спонукали професіоналів блокчейну за допомогою програми Python створити початкову точку опори в цільовому середовищі. Вторгнення складалося з кількох складних етапів, кожна з яких включала навмисні методи для уникнення виявлення та обходу заходів безпеки.

Зловмисники використовували приманки соціальної інженерії для розгортання зловмисного програмного забезпечення Kandykorn

Використання зловмисного програмного забезпечення macOS у своїй діяльності Lazarus Group не є нещодавнім. Минулого року було помічено, що ця загроза поширювала підроблену програму PDF, що зрештою призвело до розгортання RustBucket, бекдора на основі AppleScript. RustBucket мав можливість отримувати корисне навантаження другого етапу з віддаленого сервера.

Що відрізняє нову кампанію, так це тактика зловмисників, які видають себе за інженерів блокчейну на загальнодоступному сервері Discord і використовують методи соціальної інженерії, щоб обманом змусити жертв завантажити та запустити ZIP-архів, що містить шкідливий код.

Жертв змушують повірити, що вони встановлюють арбітражний бот, програмний інструмент, який може використовувати різницю в курсах криптовалюти на різних платформах для отримання прибутку. Насправді цей оманливий процес закладає основу для доставки KANDYKORN, яка розгортається через п’ять етапів.

Багатоетапний ланцюжок зараження сприяє зараженню шкідливим програмним забезпеченням Kandykorn

KANDYKORN являє собою складний імплантат, наділений широким спектром функціональних можливостей, призначених для моніторингу, взаємодії та ухилення від виявлення. Він використовує рефлексивне завантаження, метод прямого виконання в пам’яті, який потенційно може уникнути механізмів виявлення.

Початковий крок у цьому процесі включає сценарій Python, відомий як "watcher.py", який отримує інший сценарій Python, "testSpeed.py", розміщений на Диску Google. Цей другий сценарій Python діє як дроппер і отримує додатковий файл Python із URL-адреси Диска Google під назвою «FinderTools».

FinderTools також виконує функцію дроппера, відповідального за завантаження та виконання прихованого корисного навантаження другого етапу, яке називається «SUGARLOADER» (розташоване в /Users/shared/.sld і .log). Згодом SUGARLOADER встановлює з’єднання з віддаленим сервером, щоб отримати KANDYKORN і виконати його безпосередньо в пам’яті.

SUGARLOADER бере на себе додаткову роль, запускаючи самопідписаний двійковий файл на основі Swift під назвою «HLOADER», який намагається маскуватися під законну програму Discord і виконувати «.log» (тобто SUGARLOADER), щоб досягти стійкості за допомогою техніки, відомої як виконання захоплення потоку.

KANDYKORN, який виступає в якості основного корисного навантаження, є повнофункціональним резидентним трояном віддаленого доступу (RAT) із вбудованими можливостями для перерахування файлів, запуску додаткового шкідливого програмного забезпечення, викрадання даних, завершення процесів і виконання довільних команд.

Присутність KANDYKORN підкреслює постійні зусилля КНДР, зокрема через такі організації, як Lazarus Group, спрямовані на бізнес, пов’язаний з криптовалютою. Їхня головна мета — викрасти криптовалюту, щоб обійти міжнародні санкції, які перешкоджають зростанню їхньої економіки та прагнень.