Kandykorn Malware

朝鲜民主主义人民共和国 (DPRK) 政府支持的网络攻击者已被确定为通过消息平台 Discord 攻击与未指定的加密货币交易平台相关的区块链专家。他们使用了一种名为 KANDYKORN 的新 macOS 恶意软件。这一威胁行动可以追溯到 2023 年 4 月，对网络基础设施和所使用策略的检查表明，该行动与臭名昭著的黑客组织Lazarus Group有相似之处。

攻击者使用 Python 应用程序引诱区块链专业人士在目标环境中建立初步立足点。这次入侵由多个复杂的阶段组成，每个阶段都采用了故意的技术来逃避检测和绕过安全措施。

威胁行为者使用社会工程诱饵部署 Kandykorn 恶意软件

Lazarus Group 在其运营中利用 macOS 恶意软件并不是最近的事。在过去的一年里，我们观察到该威胁行为者传播了一个被篡改的 PDF 应用程序，最终导致了基于 AppleScript 的后门 RustBucket 的部署。 RustBucket 能够从远程服务器检索第二阶段有效负载。

新活动的独特之处在于，攻击者在公共 Discord 服务器上冒充区块链工程师，并利用社会工程技术欺骗受害者下载并执行包含恶意代码的 ZIP 存档。

受害者被告知他们正在安装套利机器人，这是一种可以利用跨平台加密货币汇率差异来获利的软件工具。事实上，这个欺骗性的过程为 KANDYKORN 的交付奠定了基础，它通过五个阶段的进程展开。

多阶段感染链促进 Kandykorn 恶意软件感染

KANDYKORN 代表了一种复杂的植入物，具有广泛的功能，旨在监测、交互和逃避检测。它采用反射加载，这是一种可能逃避检测机制的直接内存执行方法。

此过程的第一步涉及一个名为“watcher.py”的 Python 脚本，该脚本检索托管在 Google Drive 上的另一个 Python 脚本“testSpeed.py”。第二个 Python 脚本充当释放器，从 Google Drive URL 获取名为“FinderTools”的附加 Python 文件。

FinderTools 还充当释放器，负责下载和执行称为“SUGARLOADER”的隐藏第二阶段有效负载（位于 /Users/shared/.sld 和 .log）。 SUGARLOADER 随后与远程服务器建立连接以检索 KANDYKORN 并直接在内存中执行。

SUGARLOADER 通过启动一个名为“HLOADER”的自签名的基于 Swift 的二进制文件来承担额外的角色，该二进制文件尝试伪装成合法的 Discord 应用程序并执行“.log”（即 SUGARLOADER），以通过称为执行的技术实现持久性流量劫持。

KANDYKORN 作为最终有效负载，是一种功能齐全的内存驻留远程访问木马 (RAT)，具有文件枚举、运行补充恶意软件、窃取数据、终止进程和执行任意命令的固有功能。

KANDYKORN 的存在凸显了朝鲜不断努力，特别是通过 Lazarus 集团等实体，瞄准加密货币相关业务。他们的主要目标是窃取加密货币，以规避阻碍其经济增长和愿望的国际制裁。