مجموعة التهديد المستمر المتقدم (APT) الكورية الشمالية سيئة السمعة لازاروس قامت بتطوير شكل من أشكال البرامج الضارة لنظام التشغيل MacOS يسمى "KandyKorn"، والذي تستخدمه لاستهداف مهندسي blockchain المتصلين ببورصات العملات المشفرة.
ووفقا ل تقرير من مختبرات الأمن المرنة، يتمتع KandyKorn بمجموعة كاملة الميزات من الإمكانيات لاكتشاف أي بيانات من كمبيوتر الضحية والوصول إليها وسرقتها، بما في ذلك خدمات وتطبيقات العملة المشفرة.
ولتنفيذ ذلك، اتبع Lazarus نهجًا متعدد المراحل يتضمن تطبيق Python الذي يتنكر في هيئة روبوت لتحكيم العملات المشفرة (أداة برمجية قادرة على الاستفادة من الفرق في أسعار العملات المشفرة بين منصات تبادل العملات المشفرة). وتضمن التطبيق أسماء مضللة، بما في ذلك "config.py" و"pricetable.py"، وتم توزيعه من خلال خادم Discord عام.
ثم استخدمت المجموعة تقنيات الهندسة الاجتماعية لتشجيع ضحاياها على تنزيل وفك ضغط أرشيف مضغوط في بيئات التطوير الخاصة بهم، والذي يُزعم أنه يحتوي على الروبوت. في الواقع، يحتوي الملف على تطبيق Python تم إنشاؤه مسبقًا مع تعليمات برمجية ضارة.
قال خبراء Elastic Security إن ضحايا الهجوم اعتقدوا أنهم قاموا بتثبيت روبوت للمراجحة، لكن إطلاق تطبيق Python أدى إلى تنفيذ تدفق متعدد الخطوات للبرامج الضارة بلغ ذروته في نشر أداة KandyKorn الضارة.
روتين الإصابة بالبرامج الضارة KandyKorn
يبدأ الهجوم بتنفيذ Main.py، الذي يستورد Watcher.py. يتحقق هذا البرنامج النصي من إصدار Python، ويقوم بإعداد الدلائل المحلية، ويسترد نصين برمجيين مباشرة من Google Drive: TestSpeed.py وFinderTools.
تُستخدم هذه البرامج النصية لتنزيل وتنفيذ برنامج ثنائي غامض يسمى Sugarloader، وهو المسؤول عن منح الوصول الأولي إلى الجهاز وإعداد المراحل النهائية من البرامج الضارة، والتي تتضمن أيضًا أداة تسمى Hloader.
وتمكن فريق التهديد من تتبع مسار نشر البرامج الضارة بالكامل، وخلص إلى أن KandyKorn هي المرحلة الأخيرة من سلسلة التنفيذ.
تقوم عمليات KandyKorn بعد ذلك بإنشاء اتصال مع خادم المتسللين، مما يسمح له بالتفرع والعمل في الخلفية.
ولا تقوم البرمجيات الخبيثة باستقصاء الجهاز والتطبيقات المثبتة، ولكنها تنتظر أوامر مباشرة من المتسللين، وفقًا للتحليل، مما يقلل من عدد نقاط النهاية وعناصر الشبكة التي تم إنشاؤها، مما يحد من إمكانية اكتشافها.
استخدمت مجموعة التهديد أيضًا التحميل الثنائي الانعكاسي كأسلوب تشويش، مما يساعد البرامج الضارة على تجاوز معظم برامج الكشف.
وأشار التقرير إلى أن "الخصوم يستخدمون عادة تقنيات التشويش مثل هذه لتجاوز قدرات مكافحة البرامج الضارة التقليدية القائمة على التوقيع الثابت".
بورصات العملات المشفرة تحت النار
عانت بورصات العملات المشفرة من سلسلة من هجمات سرقة المفتاح الخاص في عام 2023والتي يُنسب معظمها إلى مجموعة لازاروس، التي تستخدم مكاسبها غير المشروعة لتمويل النظام الكوري الشمالي. اكتشف مكتب التحقيقات الفيدرالي مؤخرًا أن المجموعة لديها نقل 1,580 بيتكوين من عمليات سرقة متعددة للعملات المشفرة، مع الاحتفاظ بالأموال في ستة عناوين بيتكوين مختلفة.
وفي سبتمبر/أيلول، تم اكتشاف المهاجمين استهداف مصممي النماذج ثلاثية الأبعاد ومصممي الجرافيك باستخدام إصدارات ضارة من أداة تثبيت Windows شرعية في حملة لسرقة العملات المشفرة المستمرة منذ نوفمبر 2021 على الأقل.
وقبل شهر من ذلك، اكتشف الباحثون حملتين من البرامج الضارة ذات الصلة، أطلق عليها اسم CherryBlos وFakeTrade، والتي استهدفت مستخدمي Android بسرقة العملات المشفرة وغيرها من عمليات الاحتيال ذات الدوافع المالية.
التهديد المتزايد من DPKR
إن التعاون غير المسبوق بين مختلف التهديدات المستمرة المتقدمة داخل جمهورية كوريا الشعبية الديمقراطية (DPRK) يجعل من الصعب تعقبها، مما يمهد الطريق لهجمات إلكترونية عدوانية ومعقدة تتطلب جهود استجابة استراتيجية، حسبما جاء في تقرير حديث من حذر مانديانت.
على سبيل المثال، يمتلك زعيم البلاد، كيم جونغ أون، سكينًا سويسريًا من نوع APT يدعى Kimsuky، والذي يواصل نشر محلاقه حول العالم، مما يشير إلى أنه لا يخيفه الباحثون يغلقون. لقد مر Kimsuky بالعديد من التكرارات والتطورات، بما في ذلك صريح الانقسام إلى مجموعتين فرعيتين.
وفي الوقت نفسه، يبدو أن مجموعة لعازر قد أضافت أ معقدة ولا تزال تتطور مستتر جديد إلى ترسانة البرامج الضارة الخاصة بها، والتي تم اكتشافها لأول مرة في اختراق إلكتروني ناجح لشركة طيران إسبانية.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers
- :لديها
- :يكون
- :ليس
- $ UP
- 1
- 2021
- 3d
- 7
- a
- ماهرون
- الوصول
- وفقا
- وأضاف
- عناوين
- متقدم
- فضاء
- العدواني
- السماح
- أيضا
- an
- تحليل
- و
- الروبوت
- أي وقت
- التطبيق
- يبدو
- تطبيق
- التطبيقات
- نهج
- APT
- موازنة
- أرشيف
- هي
- جيش
- حول
- ارسنال
- AS
- At
- مهاجمة
- الهجمات
- خلفية
- كان
- يعتقد
- ما بين
- إلى البيتكوين
- سلسلة كتلة
- أحذية طويلة
- الفرع
- لكن
- by
- تسمى
- الحملات
- الحملات
- قدرات
- قادر على
- سلسلة
- الشيكات
- إغلاق
- الكود
- للاتعاون
- عادة
- Communication
- حول الشركة
- مجمع
- حل وسط
- الكمبيوتر
- اختتام
- متصل
- الواردة
- تواصل
- البلد
- خلق
- التشفير
- العملات المشفرة
- Cryptocurrency صرف
- تبادل كريبتوكيرنسي
- وبلغت ذروتها
- الانترنت
- هجمات الكترونية
- البيانات
- نقل
- الطلب
- ديمقراطي
- نشر
- بكشف أو
- كشف
- المتقدمة
- التطوير التجاري
- جهاز
- فرق
- مختلف
- مباشرة
- مباشرة
- الدلائل
- خلاف
- اكتشف
- وزعت
- هل
- بإمكانك تحميله
- كوريا الديمقراطية
- رسم
- قيادة
- يطلق عليها اسم
- جهود
- يعمل
- شجع
- الهندسة
- المهندسين
- كامل
- البيئات
- إنشاء
- التطورات
- المتطورة
- تبادل
- الاستبدال
- تنفيذ
- خبرائنا
- مكتب التحقيقات الفدرالي
- عقار مميز
- قم بتقديم
- نهائي
- المراحل النهائية
- ماليا
- الاسم الأول
- تدفق
- في حالة
- النموذج المرفق
- وجدت
- تبدأ من
- صندوق
- أموال
- الرأس مالية
- إعطاء
- ذهب
- شراء مراجعات جوجل
- Graphic
- تجمع
- قراصنة
- كان
- أصعب
- يملك
- يساعد
- عقد
- HTTPS
- واردات
- in
- بما فيه
- سيء السمعة
- في البداية
- بدأت
- تثبيت
- مثل
- إلى
- تنطوي
- تنطوي
- IT
- التكرارات
- انها
- JPG
- القفل
- كيم
- كوريا
- الكوريّة
- إطلاق
- لازاروس
- مجموعة لازاروس
- زعيم
- الأقل
- شرعي
- الحد من
- جار التحميل
- محلي
- آلة
- ماك
- الرئيسية
- يصنع
- البرمجيات الخبيثة
- كثير
- مضلل
- شهر
- أكثر
- الدافع
- متعدد
- عين
- أسماء
- شبكة
- جديد
- شمال
- وأشار
- نوفمبر
- نوفمبر 2021
- عدد
- of
- جارية
- أخرى
- خارج
- صريح
- مسار
- مجتمع
- بلاتفورم
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- في.
- إمكانية
- إعداد
- قبل
- العمليات
- البرامج
- جمهور
- بايثون
- الأجور
- الأخيرة
- مؤخرا
- يقلل
- النظام الحاكم
- ذات صلة
- تقرير
- جمهورية
- الباحثين
- استجابة
- مسؤول
- يجري
- s
- قال
- الحيل
- سيناريو
- مخطوطات
- أمن
- سبتمبر
- مسلسلات
- الخادم
- خدماتنا
- طقم
- باكجات
- ضبط
- منذ
- SIX
- منصات التواصل
- هندسة اجتماعية
- تطبيقات الكمبيوتر
- الإسبانية
- انقسم
- انتشار
- المسرح
- مراحل
- لا يزال
- إستراتيجي
- ناجح
- هذه
- عانى
- سويسري
- الهدف
- المستهدفة
- فريق
- تقنية
- تقنيات
- أن
- •
- العالم
- سرقة
- من مشاركة
- منهم
- then
- هم
- التهديد
- عبر
- وهكذا
- إلى
- استغرق
- أداة
- أثر
- مسار
- تقليدي
- اثنان
- UN
- كشف
- مع
- غير مسبوق
- تستخدم
- مستعمل
- المستخدمين
- يستخدم
- استخدام
- مختلف
- الإصدار
- الإصدارات
- ضحية
- ضحايا
- ينتظر
- وكان
- كان
- التي
- نوافذ
- مع
- في غضون
- العالم
- زفيرنت
- الرمز البريدي
