Den berygtede nordkoreanske avancerede vedvarende trussel-gruppe (APT). Lazarus har udviklet en form for macOS-malware kaldet "KandyKorn", som den bruger til at målrette mod blockchain-ingeniører forbundet til kryptovaluta-børser.
Ifølge en rapport fra Elastic Security Labs, KandyKorn har et komplet sæt af funktioner til at opdage, få adgang til og stjæle data fra ofrets computer, inklusive kryptovalutatjenester og -applikationer.
For at levere det, tog Lazarus en flertrinstilgang, der involverede en Python-applikation, der forklædte sig som en cryptocurrency-arbitrage-bot (et softwareværktøj, der er i stand til at drage fordel af forskellen i cryptocurrency-kurser mellem cryptocurrency-udvekslingsplatforme). Appen indeholdt vildledende navne, inklusive "config.py" og "pricetable.py", og blev distribueret gennem en offentlig Discord-server.
Gruppen brugte derefter social engineering-teknikker for at opmuntre sine ofre til at downloade og udpakke et zip-arkiv i deres udviklingsmiljøer, der angiveligt indeholdt botten. I virkeligheden indeholdt filen en forudbygget Python-applikation med ondsindet kode.
Ofre for angrebet troede, at de havde installeret en arbitrage-bot, men lanceringen af Python-applikationen initierede udførelsen af en multitrins malware-flow, der kulminerede med implementeringen af KandyKorn-ondsindet værktøj, sagde Elastic Security-eksperter.
KandyKorn Malwares infektionsrutine
Angrebet begynder med udførelsen af Main.py, som importerer Watcher.py. Dette script tjekker Python-versionen, opsætter lokale mapper og henter to scripts direkte fra Google Drev: TestSpeed.py og FinderTools.
Disse scripts bruges til at downloade og udføre en obfuskeret binær kaldet Sugarloader, der er ansvarlig for at give indledende adgang til maskinen og forberede de sidste stadier af malwaren, som også involverer et værktøj kaldet Hloader.
Trusselsholdet var i stand til at spore hele malware-udrulningsstien og dragede den konklusion, at KandyKorn er den sidste fase af udførelseskæden.
KandyKorn-processer etablerer derefter kommunikation med hackernes server, så den kan forgrene sig og køre i baggrunden.
Malwaren poller ikke enheden og de installerede applikationer, men venter på direkte kommandoer fra hackerne, ifølge analysen, hvilket reducerer antallet af oprettede endepunkter og netværksartefakter og dermed begrænser muligheden for detektion.
Trusselsgruppen brugte også reflekterende binær indlæsning som en sløringsteknik, som hjælper malware med at omgå de fleste detektionsprogrammer.
"Modstandere bruger almindeligvis sløringsteknikker som denne for at omgå traditionelle statiske signaturbaserede antimalware-funktioner," bemærkede rapporten.
Kryptovalutaudvekslinger under ild
Cryptocurrency udvekslinger har lidt en række tyveri af private nøgler i 2023, hvoraf de fleste er blevet tilskrevet Lazarus-gruppen, som bruger sine dårligt opnåede gevinster til at finansiere det nordkoreanske regime. FBI fandt for nylig ud af, at gruppen havde flyttede 1,580 bitcoins fra flere cryptocurrency-tyverier, med midlerne på seks forskellige bitcoin-adresser.
I september blev angriberne opdaget målrettet 3D-modellere og grafiske designere med ondsindede versioner af et legitimt Windows-installationsværktøj i en kryptovaluta-tyvende kampagne, der har været i gang siden mindst november 2021.
En måned forinden afslørede forskere to relaterede malware-kampagner, kaldet CherryBlos og FakeTrade, som målrettede Android-brugere for tyveri af kryptovaluta og andre økonomisk motiverede svindelnumre.
Voksende trussel fra DPKR
Et hidtil uset samarbejde mellem forskellige APT'er i Den Demokratiske Folkerepublik Korea (DPRK) gør dem sværere at spore, hvilket sætter scenen for aggressive, komplekse cyberangreb, der kræver strategiske reaktionsbestræbelser, en nylig rapport fra Mandiant advarede.
For eksempel har landets leder, Kim Jong Un, en schweizisk hærkniv APT ved navn Kimsuky, som fortsætter med at sprede sine ranker rundt om i verden, hvilket indikerer, at den ikke er skræmt af forskere nærmer sig. Kimsuky har gennemgået mange iterationer og udviklinger, bl.a en direkte opdeling i to undergrupper.
I mellemtiden ser det ud til, at Lazarus-gruppen har tilføjet en kompleks og stadig udviklende ny bagdør til dets malware-arsenal, først opdaget i et vellykket cyberkompromis fra en spansk luftfartsvirksomhed.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers
- :har
- :er
- :ikke
- $OP
- 1
- 2021
- 3d
- 7
- a
- I stand
- adgang
- Ifølge
- tilføjet
- adresser
- fremskreden
- Luftfart
- aggressive
- tillade
- også
- an
- analyse
- ,
- android
- enhver
- app
- kommer til syne
- Anvendelse
- applikationer
- tilgang
- APT
- arbitrage
- Arkiv
- ER
- Army
- omkring
- Arsenal
- AS
- At
- angribe
- Angreb
- baggrund
- været
- troede
- mellem
- Bitcoin
- blockchain
- Bot
- Branch
- men
- by
- kaldet
- Kampagne
- Kampagner
- kapaciteter
- stand
- kæde
- Kontrol
- lukning
- kode
- samarbejde
- almindeligt
- Kommunikation
- selskab
- komplekse
- kompromis
- computer
- konklusion
- tilsluttet
- indeholdt
- fortsætter
- land
- oprettet
- krypto
- cryptocurrency
- Cryptocurrency Exchange
- Cryptocurrency Udvekslinger
- kulminerende
- Cyber
- cyberangreb
- data
- levere
- Efterspørgsel
- demokratisk
- implementering
- opdage
- Detektion
- udviklet
- Udvikling
- enhed
- forskel
- forskellige
- direkte
- direkte
- mapper
- disharmoni
- opdaget
- distribueret
- gør
- downloade
- Nordkorea
- tegning
- køre
- døbt
- indsats
- selvstændige
- tilskynde
- Engineering
- Ingeniører
- Hele
- miljøer
- etablere
- udviklinger
- udviklende
- udveksling
- Udvekslinger
- udføre
- udførelse
- eksperter
- FBI
- featured
- File (Felt)
- endelige
- sidste faser
- økonomisk
- Fornavn
- flow
- Til
- formular
- fundet
- fra
- fond
- fonde
- gevinster
- Give
- gået
- Grafisk
- gruppe
- hackere
- havde
- hårdere
- Have
- hjælper
- bedrift
- HTTPS
- import
- in
- Herunder
- berygtede
- initial
- indledt
- installeret
- instans
- ind
- involvere
- involverer
- IT
- iterationer
- ITS
- jpg
- Nøgle
- Kim
- korea
- koreansk
- lancering
- Lazarus
- Lazarus gruppe
- leder
- mindst
- legitim
- begrænsende
- lastning
- lokale
- maskine
- MacOS
- Main
- maerker
- malware
- mange
- misvisende
- Måned
- mest
- motiveret
- flere
- Som hedder
- navne
- netværk
- Ny
- Nord
- bemærkede
- november
- November 2021
- nummer
- of
- igangværende
- Andet
- ud
- direkte
- sti
- Mennesker
- Platforme
- plato
- Platon Data Intelligence
- PlatoData
- afstemning
- Muligheden
- forberede
- Forud
- Processer
- Programmer
- offentlige
- Python
- priser
- nylige
- for nylig
- reducerer
- regime
- relaterede
- indberette
- Republikken
- forskere
- svar
- ansvarlige
- Kør
- s
- Said
- svindel
- script
- scripts
- sikkerhed
- september
- Series
- server
- Tjenester
- sæt
- sæt
- indstilling
- siden
- SIX
- Social
- Samfundsteknologi
- Software
- Spansk
- delt
- spredes
- Stage
- etaper
- Stadig
- Strategisk
- vellykket
- sådan
- lidt
- Schweizisk
- mål
- målrettet
- hold
- teknik
- teknikker
- at
- verdenen
- tyveri
- deres
- Them
- derefter
- de
- denne
- trussel
- Gennem
- Dermed
- til
- tog
- værktøj
- Trace
- spor
- traditionelle
- to
- UN
- afdækket
- under
- uden fortilfælde
- brug
- anvendte
- brugere
- bruger
- ved brug af
- forskellige
- udgave
- versioner
- Victim
- ofre
- venter
- var
- var
- som
- vinduer
- med
- inden for
- world
- zephyrnet
- Zip
