Kandykorn Malware

由朝鮮民主主義人民共和國 (DPRK) 政府支持的網路攻擊者已被確定為透過訊息平台 Discord 攻擊與未指定的加密貨幣交易平台相關的區塊鏈專家。他們使用了一種名為 KANDYKORN 的新 macOS 惡意軟體。這項威脅行動可以追溯到 2023 年 4 月，對網路基礎設施和所使用策略的檢查表明，該行動與臭名昭著的駭客組織Lazarus Group有相似之處。

攻擊者使用 Python 應用程式引誘區塊鏈專業人士在目標環境中建立初步立足點。這次入侵由多個複雜的階段組成，每個階段都採用了故意的技術來逃避偵測和繞過安全措施。

威脅行為者使用社會工程誘餌部署 Kandykorn 惡意軟體

Lazarus Group 在其營運中利用 macOS 惡意軟體並不是最近的事。在過去的一年裡，我們觀察到該威脅行為者傳播了一個被篡改的 PDF 應用程序，最終導致了基於 AppleScript 的後門 RustBucket 的部署。 RustBucket 能夠從遠端伺服器檢索第二階段有效負載。

新活動的獨特之處在於，攻擊者在公共 Discord 伺服器上冒充區塊鏈工程師，並利用社會工程技術欺騙受害者下載並執行包含惡意程式碼的 ZIP 檔案。

受害者被告知他們正在安裝套利機器人，這是一種可以利用跨平台加密貨幣匯率差異來獲利的軟體工具。事實上，這個欺騙性的過程為 KANDYKORN 的交付奠定了基礎，它透過五個階段的進程展開。

多階段感染鏈促進 Kandykorn 惡意軟體感染

KANDYKORN 代表了一種複雜的植入物，具有廣泛的功能，旨在監測、互動和逃避檢測。它採用反射加載，這是一種可能逃避檢測機制的直接記憶體執行方法。

這個過程的第一步涉及一個名為「watcher.py」的 Python 腳本，該腳本會擷取託管在 Google Drive 上的另一個 Python 腳本「testSpeed.py」。第二個 Python 腳本充當釋放器，從 Google Drive URL 取得名為「FinderTools」的附加 Python 檔案。

FinderTools 也充當釋放器，負責下載和執行稱為「SUGARLOADER」的隱藏第二階段有效負載（位於 /Users/shared/.sld 和 .log）。 SUGARLOADER 隨後與遠端伺服器建立連線以擷取 KANDYKORN 並直接在記憶體中執行。

SUGARLOADER 透過啟動一個名為「HLOADER」的自簽署的基於Swift 的二進位檔案來承擔額外的角色，該二進位檔案嘗試偽裝成合法的Discord 應用程式並執行「.log」（即SUGARLOADER），以透過稱為執行的技術實現持久性流量劫持。

KANDYKORN 作為最終有效負載，是一種功能齊全的記憶體駐留遠端存取木馬 (RAT)，具有檔案枚舉、運行補充惡意軟體、竊取資料、終止進程和執行任意命令的固有功能。

KANDYKORN 的存在凸顯了北韓不斷努力，特別是透過 Lazarus 集團等實體，瞄準加密貨幣相關業務。他們的主要目標是竊取加密貨幣，以避免阻礙其經濟成長和願望的國際制裁。