Η διαβόητη βορειοκορεατική ομάδα προηγμένης επίμονης απειλής (APT). Λάζαρος έχει αναπτύξει μια μορφή κακόβουλου λογισμικού macOS που ονομάζεται "KandyKorn", το οποίο χρησιμοποιεί για να στοχεύσει μηχανικούς blockchain που συνδέονται με ανταλλακτήρια κρυπτονομισμάτων.
Σύμφωνα με ένα έκθεση από την Elastic Security Labs, το KandyKorn διαθέτει ένα πλήρες σύνολο δυνατοτήτων για τον εντοπισμό, την πρόσβαση και την κλοπή τυχόν δεδομένων από τον υπολογιστή του θύματος, συμπεριλαμβανομένων υπηρεσιών και εφαρμογών κρυπτονομισμάτων.
Για να το παραδώσει, ο Lazarus ακολούθησε μια προσέγγιση πολλαπλών σταδίων που περιλάμβανε μια εφαρμογή Python που μεταμφιέζεται σε bot αρμπιτράζ κρυπτονομισμάτων (ένα εργαλείο λογισμικού ικανό να επωφεληθεί από τη διαφορά στις τιμές κρυπτονομισμάτων μεταξύ πλατφορμών ανταλλαγής κρυπτονομισμάτων). Η εφαρμογή περιείχε παραπλανητικά ονόματα, συμπεριλαμβανομένων των "config.py" και "pricetaable.py", και διανεμήθηκε μέσω ενός δημόσιου διακομιστή Discord.
Στη συνέχεια, η ομάδα χρησιμοποίησε τεχνικές κοινωνικής μηχανικής για να ενθαρρύνει τα θύματά της να κατεβάσουν και να αποσυμπιέσουν ένα αρχείο zip στα περιβάλλοντα ανάπτυξής τους, το οποίο υποτίθεται ότι περιέχει το bot. Στην πραγματικότητα, το αρχείο περιείχε μια προκατασκευασμένη εφαρμογή Python με κακόβουλο κώδικα.
Τα θύματα της επίθεσης πίστεψαν ότι είχαν εγκαταστήσει ένα bot arbitrage, αλλά η εκκίνηση της εφαρμογής Python ξεκίνησε την εκτέλεση μιας ροής κακόβουλου λογισμικού πολλαπλών βημάτων που κορυφώθηκε με την ανάπτυξη του κακόβουλου εργαλείου KandyKorn, είπαν οι ειδικοί της Elastic Security.
Ρουτίνα μόλυνσης από κακόβουλο λογισμικό KandyKorn
Η επίθεση ξεκινά με την εκτέλεση του Main.py, το οποίο εισάγει το Watcher.py. Αυτό το σενάριο ελέγχει την έκδοση Python, ρυθμίζει τοπικούς καταλόγους και ανακτά δύο σενάρια απευθείας από το Google Drive: TestSpeed.py και FinderTools.
Αυτά τα σενάρια χρησιμοποιούνται για τη λήψη και την εκτέλεση ενός συγκεχυμένου δυαδικού αρχείου που ονομάζεται Sugarloader, υπεύθυνο για την παροχή αρχικής πρόσβασης στο μηχάνημα και την προετοιμασία των τελικών σταδίων του κακόβουλου λογισμικού, το οποίο περιλαμβάνει επίσης ένα εργαλείο που ονομάζεται Hloader.
Η ομάδα απειλών μπόρεσε να εντοπίσει ολόκληρη τη διαδρομή ανάπτυξης κακόβουλου λογισμικού, καταλήγοντας στο συμπέρασμα ότι το KandyKorn είναι το τελικό στάδιο της αλυσίδας εκτέλεσης.
Στη συνέχεια, οι διαδικασίες KandyKorn δημιουργούν επικοινωνία με τον διακομιστή των χάκερ, επιτρέποντάς του να διακλαδωθεί και να εκτελεστεί στο παρασκήνιο.
Το κακόβουλο λογισμικό δεν μετράει τη συσκευή και τις εγκατεστημένες εφαρμογές, αλλά περιμένει άμεσες εντολές από τους χάκερ, σύμφωνα με την ανάλυση, γεγονός που μειώνει τον αριθμό των τελικών σημείων και των τεχνουργημάτων δικτύου που δημιουργούνται, περιορίζοντας έτσι τη δυνατότητα εντοπισμού.
Η ομάδα απειλών χρησιμοποίησε επίσης ανακλαστική δυαδική φόρτωση ως τεχνική συσκότισης, η οποία βοηθά το κακόβουλο λογισμικό να παρακάμψει τα περισσότερα προγράμματα ανίχνευσης.
«Οι αντίπαλοι χρησιμοποιούν συνήθως τεχνικές συσκότισης όπως αυτή για να παρακάμψουν τις παραδοσιακές δυνατότητες antimalware που βασίζονται σε στατικές υπογραφές», σημειώνει η έκθεση.
Υπό φωτιά οι ανταλλαγές κρυπτονομισμάτων
Οι ανταλλαγές κρυπτονομισμάτων έχουν υποστεί μια σειρά από επιθέσεις κλοπής ιδιωτικού κλειδιού το 2023, τα περισσότερα από τα οποία έχουν αποδοθεί στην ομάδα Lazarus, η οποία χρησιμοποιεί τα παράνομα κέρδη της για να χρηματοδοτήσει το καθεστώς της Βόρειας Κορέας. Το FBI ανακάλυψε πρόσφατα ότι η ομάδα είχε μετακίνησε 1,580 bitcoin από πολλαπλές ληστείες κρυπτονομισμάτων, κρατώντας τα κεφάλαια σε έξι διαφορετικές διευθύνσεις bitcoin.
Τον Σεπτέμβριο, οι δράστες ανακαλύφθηκαν στοχεύοντας τρισδιάστατους μοντελιστές και γραφίστες με κακόβουλες εκδόσεις ενός νόμιμου εργαλείου εγκατάστασης των Windows σε μια καμπάνια κλοπής κρυπτονομισμάτων που βρίσκεται σε εξέλιξη τουλάχιστον από τον Νοέμβριο του 2021.
Ένα μήνα πριν, οι ερευνητές αποκάλυψαν δύο σχετικές καμπάνιες κακόβουλου λογισμικού, μεταγλωττισμένες CherryBlos και FakeTrade, που στόχευε χρήστες Android για κλοπή κρυπτονομισμάτων και άλλες απάτες με οικονομικά κίνητρα.
Αυξανόμενη απειλή από το DPKR
Μια άνευ προηγουμένου συνεργασία από διάφορα APT εντός της Λαϊκής Δημοκρατίας της Κορέας (ΛΔΚ) καθιστά πιο δύσκολη την παρακολούθηση τους, θέτοντας το έδαφος για επιθετικές, περίπλοκες επιθέσεις στον κυβερνοχώρο που απαιτούν προσπάθειες στρατηγικής απάντησης, μια πρόσφατη έκθεση από προειδοποίησε ο Mandiant.
Για παράδειγμα, ο ηγέτης της χώρας, Κιμ Γιονγκ Ουν, έχει ένα ελβετικό μαχαίρι APT με το όνομα Kimsuky, το οποίο συνεχίζει να απλώνει τα άκρα του σε όλο τον κόσμο, δείχνοντας ότι δεν πτοείται από ερευνητές που πλησιάζουν. Ο Kimsuky έχει περάσει από πολλές επαναλήψεις και εξελίξεις, μεταξύ των οποίων μια πλήρης διαίρεση σε δύο υποομάδες.
Εν τω μεταξύ, η ομάδα Lazarus φαίνεται να έχει προσθέσει α πολύπλοκη και ακόμα εξελισσόμενη νέα κερκόπορτα στο οπλοστάσιο κακόβουλου λογισμικού της, που εντοπίστηκε για πρώτη φορά σε έναν επιτυχημένο συμβιβασμό στον κυβερνοχώρο μιας ισπανικής αεροδιαστημικής εταιρείας.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers
- :έχει
- :είναι
- :δεν
- $UP
- 1
- 2021
- 3d
- 7
- a
- Ικανός
- πρόσβαση
- Σύμφωνα με
- προστιθέμενη
- διευθύνσεις
- προηγμένες
- Αεροδιαστημική
- επιθετικός
- Επιτρέποντας
- Επίσης
- an
- ανάλυση
- και
- android
- κάθε
- app
- εμφανίζεται
- Εφαρμογή
- εφαρμογές
- πλησιάζω
- APT
- διαιτησία
- Αρχείο
- ΕΙΝΑΙ
- Στρατός
- γύρω
- Οπλοστάσιο
- AS
- At
- επίθεση
- Επιθέσεις
- φόντο
- ήταν
- Πιστεύεται
- μεταξύ
- Bitcoin
- blockchain
- Bot
- Υποκατάστημα
- αλλά
- by
- που ονομάζεται
- Εκστρατεία
- Καμπάνιες
- δυνατότητες
- ικανός
- αλυσίδα
- έλεγχοι
- κλείσιμο
- κωδικός
- συνεργασία
- συνήθως
- Επικοινωνία
- εταίρα
- συγκρότημα
- συμβιβασμός
- υπολογιστή
- συμπέρασμα
- συνδεδεμένος
- που περιέχονται
- συνεχίζεται
- χώρα
- δημιουργήθηκε
- κρυπτο
- cryptocurrency
- Ανταλλαγή κρυπτοαξιολόγησης
- Κρυπτοεπιλογές
- με αποκορύφωμα
- στον κυβερνοχώρο
- cyberattacks
- ημερομηνία
- παραδώσει
- Ζήτηση
- δημοκρατικός
- ανάπτυξη
- ανίχνευση
- Ανίχνευση
- αναπτύχθηκε
- Ανάπτυξη
- συσκευή
- διαφορά
- διαφορετικές
- κατευθύνει
- κατευθείαν
- Κατάλογοι
- διχόνοια
- ανακάλυψαν
- διανέμονται
- κάνει
- κατεβάσετε
- dprk
- σχέδιο
- αυτοκίνητο
- μεταγλωττισμένο
- προσπάθειες
- μισθωτών
- ενθαρρύνει
- Μηχανική
- Μηχανικοί
- Ολόκληρος
- περιβάλλοντα
- εγκαθιδρύω
- εξελίξεις
- εξελίσσεται
- ανταλλαγή
- Χρηματιστήρια
- εκτελέσει
- εκτέλεση
- εμπειρογνώμονες
- FBI
- Προτεινόμενο
- Αρχεία
- τελικός
- τελικά στάδια
- οικονομικά
- Όνομα
- ροή
- Για
- μορφή
- Βρέθηκαν
- από
- κεφάλαιο
- χρήματα
- κέρδη
- Δίνοντας
- φύγει
- Γραφιστικές
- Group
- χάκερ
- είχε
- σκληρότερα
- Έχω
- βοηθά
- κράτημα
- HTTPS
- εισαγωγές
- in
- Συμπεριλαμβανομένου
- κακόφημος
- αρχικός
- ξεκίνησε
- εγκατασταθεί
- παράδειγμα
- σε
- εμπλέκω
- συμμετοχή
- IT
- επαναλήψεις
- ΤΟΥ
- jpg
- Κλειδί
- Κιμ
- Κορέα
- Κορεάτικα
- δρομολόγηση
- Λάζαρος
- Ομάδα Λαζάρου
- ηγέτης
- ελάχιστα
- νόμιμος
- περιορίζοντας
- φόρτωση
- τοπικός
- μηχανή
- MacOS
- Κυρίως
- ΚΑΝΕΙ
- malware
- πολοί
- αποπλανητικός
- Μηνας
- πλέον
- κίνητρα
- πολλαπλούς
- Ονομάστηκε
- ονόματα
- δίκτυο
- Νέα
- Βόρειος
- Σημειώνεται
- Νοέμβριος
- Νοέμβριος 2021
- αριθμός
- of
- συνεχή
- ΑΛΛΑ
- έξω
- εντελώς
- μονοπάτι
- People
- Πλατφόρμες
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- ψηφοφορία
- δυνατότητα
- προετοιμασία
- Πριν
- Διεργασίες
- Προγράμματα
- δημόσιο
- Python
- Τιμές
- πρόσφατος
- πρόσφατα
- μειώνει
- καθεστώς
- σχετίζεται με
- αναφέρουν
- Δημοκρατία
- ερευνητές
- απάντησης
- υπεύθυνος
- τρέξιμο
- s
- Είπε
- απάτες
- γραφή
- Εφαρμογές
- ασφάλεια
- Σεπτέμβριος
- Σειρές
- διακομιστής
- Υπηρεσίες
- σειρά
- Σέτς
- τον καθορισμό
- αφού
- ΕΞΙ
- Μ.Κ.Δ
- Κοινωνική μηχανική
- λογισμικό
- Ισπανικά
- διαίρεση
- διάδοση
- Στάδιο
- στάδια
- Ακόμη
- Στρατηγική
- επιτυχής
- τέτοιος
- υπέφερε
- Ελβετός
- στόχος
- στοχευμένες
- τεχνική
- τεχνικές
- ότι
- Η
- ο κόσμος
- κλοπή
- τους
- Τους
- τότε
- αυτοί
- αυτό
- απειλή
- Μέσω
- Ετσι
- προς την
- πήρε
- εργαλείο
- Ιχνος
- τροχιά
- παραδοσιακός
- δύο
- UN
- ακάλυπτος
- υπό
- πρωτοφανής
- χρήση
- μεταχειρισμένος
- Χρήστες
- χρησιμοποιεί
- χρησιμοποιώντας
- διάφορα
- εκδοχή
- εκδόσεις
- Θύμα
- θύματα
- περιμένει
- ήταν
- ήταν
- Ποιό
- παράθυρα
- με
- εντός
- κόσμος
- zephyrnet
- Zip