Kandykorn Malware

Những kẻ tấn công mạng được chính phủ Cộng hòa Dân chủ Nhân dân Triều Tiên (CHDCND Triều Tiên) hỗ trợ đã được xác định là nhắm mục tiêu vào các chuyên gia blockchain có liên quan đến nền tảng trao đổi tiền điện tử không xác định thông qua nền tảng nhắn tin Discord. Họ đã sử dụng một phần mềm độc hại macOS mới có tên KANDYKORN. Hoạt động đe dọa này có thể bắt nguồn từ tháng 4 năm 2023 và có những điểm tương đồng với nhóm hack khét tiếng được gọi là Nhóm Lazarus , được chỉ ra qua quá trình kiểm tra cơ sở hạ tầng mạng và các chiến thuật được sử dụng.

Những kẻ tấn công đã lôi kéo các chuyên gia blockchain bằng cách sử dụng ứng dụng Python để thiết lập chỗ đứng ban đầu trong môi trường được nhắm mục tiêu. Cuộc xâm nhập bao gồm nhiều giai đoạn phức tạp, trong đó mỗi giai đoạn kết hợp các kỹ thuật có chủ ý để tránh bị phát hiện và vượt qua các biện pháp an ninh.

Những kẻ đe dọa đã sử dụng mồi nhử kỹ thuật xã hội để triển khai phần mềm độc hại Kandykorn

Việc Lazarus Group sử dụng phần mềm độc hại macOS trong hoạt động của họ không phải là sự phát triển gần đây. Trong năm qua, người ta đã quan sát thấy tác nhân đe dọa này đang phát tán một ứng dụng PDF giả mạo, cuối cùng dẫn đến việc triển khai RustBucket, một cửa hậu dựa trên AppleScript. RustBucket có khả năng truy xuất tải trọng giai đoạn hai từ máy chủ từ xa.

Điều khác biệt của chiến dịch mới là chiến thuật của kẻ tấn công giả làm kỹ sư blockchain trên máy chủ Discord công cộng và sử dụng các kỹ thuật kỹ thuật xã hội để lừa nạn nhân tải xuống và thực thi kho lưu trữ ZIP chứa mã độc.

Các nạn nhân được cho là tin rằng họ đang cài đặt bot chênh lệch giá, một công cụ phần mềm có thể khai thác sự khác biệt về tỷ giá tiền điện tử trên các nền tảng để kiếm lợi nhuận. Trên thực tế, quá trình lừa đảo này tạo tiền đề cho việc phân phối KANDYKORN, diễn ra thông qua tiến trình gồm 5 giai đoạn.

Chuỗi lây nhiễm nhiều giai đoạn tạo điều kiện thuận lợi cho việc lây nhiễm phần mềm độc hại Kandykorn

KANDYKORN đại diện cho một thiết bị cấy ghép phức tạp có nhiều chức năng được thiết kế để theo dõi, tương tác và tránh bị phát hiện. Nó sử dụng tải phản chiếu, một phương pháp thực thi bộ nhớ trực tiếp có khả năng trốn tránh các cơ chế phát hiện.

Bước đầu tiên trong quy trình này bao gồm một tập lệnh Python, được gọi là 'watcher.py', tập lệnh này truy xuất một tập lệnh Python khác, 'testSpeed.py', được lưu trữ trên Google Drive. Tập lệnh Python thứ hai này hoạt động như một trình nhỏ giọt và tìm nạp tệp Python bổ sung từ URL Google Drive, có tên là 'FinderTools'.

FinderTools cũng đóng vai trò là công cụ nhỏ giọt, chịu trách nhiệm tải xuống và thực thi tải trọng giai đoạn hai được che giấu được gọi là 'SUGARLOADER' (nằm tại /Users/shared/.sld và .log). SUGARLOADER sau đó thiết lập kết nối với máy chủ từ xa để truy xuất KANDYKORN và thực thi nó trực tiếp trong bộ nhớ.

SUGARLOADER đảm nhận một vai trò bổ sung bằng cách khởi chạy một tệp nhị phân dựa trên Swift tự ký có tên là 'HLOADER', cố gắng giả dạng ứng dụng Discord hợp pháp và thực thi '.log' (tức là SUGARLOADER) để đạt được sự bền bỉ thông qua một kỹ thuật được gọi là thực thi chiếm quyền điều khiển luồng.

KANDYKORN, đóng vai trò là trọng tải cuối cùng, là một Trojan truy cập từ xa (RAT) lưu trú trong bộ nhớ có đầy đủ tính năng với các khả năng vốn có để liệt kê tệp, chạy phần mềm độc hại bổ sung, lọc dữ liệu, chấm dứt quy trình và thực thi các lệnh tùy ý.

Sự hiện diện của KANDYKORN nhấn mạnh những nỗ lực không ngừng của DPRK, đặc biệt là thông qua các thực thể như Tập đoàn Lazarus, nhằm nhắm mục tiêu vào các doanh nghiệp liên quan đến tiền điện tử. Mục tiêu chính của họ là đánh cắp tiền điện tử để lách các biện pháp trừng phạt quốc tế cản trở sự phát triển của nền kinh tế và nguyện vọng của họ.