„KandyKorn” macOS-i pahavara meelitab krüptoinsenere

Kurikuulus Põhja-Korea arenenud püsivate ohtude (APT) rühmitus Lazarus on välja töötanud MacOS-i pahavara vormi nimega "KandyKorn", mida ta kasutab krüptovaluutavahetustega ühendatud plokiahela inseneride sihtimiseks.

Vastavalt Elastic Security Labsi aruanneKandyKornil on täisfunktsionaalne võimalus ohvri arvutist mis tahes andmete, sealhulgas krüptovaluutateenuste ja -rakenduste tuvastamiseks, juurdepääsemiseks ja varastamiseks.

Selle pakkumiseks kasutas Lazarus mitmeastmelist lähenemisviisi, mis hõlmas Pythoni rakendust, mis maskeeris krüptovaluuta arbitraažibotina (tarkvaratööriist, mis suudab kasu saada krüptovaluutade vahetusplatvormide krüptovaluutakursside erinevusest). Rakendus sisaldas eksitavaid nimesid, sealhulgas "config.py" ja "pricetable.py", ning seda levitati avaliku Discord-serveri kaudu.

Seejärel kasutas rühm sotsiaalse manipuleerimise tehnikaid, et julgustada oma ohvreid laadima alla ja lahti pakkima oma arenduskeskkondadesse ZIP-arhiiv, mis väidetavalt sisaldas robotit. Tegelikult sisaldas fail eelehitatud Pythoni rakendust koos pahatahtliku koodiga.

Rünnaku ohvrid uskusid, et on installinud arbitraažiroti, kuid Pythoni rakenduse käivitamine käivitas mitmeastmelise pahavaravoo, mis kulmineerus KandyKorni pahatahtliku tööriista juurutamisega, ütlesid Elastic Security eksperdid.

KandyKorni pahavara nakatumise rutiin

Rünnak algab faili Main.py käivitamisega, mis impordib Watcher.py. See skript kontrollib Pythoni versiooni, seadistab kohalikud kataloogid ja hangib otse Google Drive'ist kaks skripti: TestSpeed.py ja FinderTools.

Neid skripte kasutatakse ähmastatud binaarfaili nimega Sugarloader allalaadimiseks ja käivitamiseks, mis vastutab masinale esialgse juurdepääsu andmise ja pahavara viimaste etappide ettevalmistamise eest, mis hõlmab ka tööriista nimega Hloader.

Ohumeeskond suutis jälgida kogu pahavara juurutamise teed, tehes järelduse, et KandyKorn on täitmisahela viimane etapp.

KandyKorni protsessid loovad seejärel side häkkerite serveriga, võimaldades sellel hargneda ja taustal töötada.

Pahavara ei küsitle seadet ja installitud rakendusi, vaid ootab häkkeritelt otsekäsklusi, selgub analüüsist, mis vähendab loodavate lõpp-punktide ja võrguartefaktide arvu, piirates seeläbi tuvastamise võimalust.

Ohurühm kasutas ka ähmastustehnikana peegeldavat binaarlaadimist, mis aitab pahavaral enamikust tuvastusprogrammidest mööda minna.

"Vastased kasutavad tavaliselt selliseid hägustamismeetodeid, et mööda minna traditsioonilistest staatilisest allkirjapõhisest pahavaratõrjest," märgitakse aruandes.

Krüptovaluutavahetus tule all

Krüptovaluutavahetus on kannatanud mitmeid privaatvõtme varguse rünnakud 2023. aastal, millest enamik on omistatud Lazaruse grupeeringule, mis kasutab oma ebaseaduslikult saadud tulu Põhja-Korea režiimi rahastamiseks. FBI leidis hiljuti, et rühmitus oli liigutas 1,580 bitcoini mitme krüptovaluuta varguse kaudu, hoides raha kuuel erineval bitcoini aadressil.

Septembris avastati ründajad sihitud 3D-modelleerijatele ja graafilistele disaineritele legitiimse Windowsi installitööriista pahatahtlike versioonidega krüptorahavarguse kampaanias, mis on kestnud vähemalt 2021. aasta novembrist.

Kuu aega varem avastasid teadlased kaks seotud pahavarakampaaniat CherryBlos ja FakeTrade, mis oli suunatud Androidi kasutajatele krüptovaluutavarguste ja muude rahaliselt motiveeritud pettuste eest.

Kasvav oht DPKR-ilt

Korea Rahvademokraatliku Vabariigi (KRDV) erinevate APT-de enneolematu koostöö muudab nende jälgimise raskemaks, pannes aluse agressiivsetele ja keerulistele küberrünnakutele, mis nõuavad strateegilist reageerimist. Mandiant hoiatas.

Näiteks on riigi juhil Kim Jong Unil Šveitsi armee nuga APT nimega Kimsuky, mis levitab jätkuvalt oma kõõluseid üle maailma, mis näitab, et teda ei hirmuta uurijad sulguvad. Kimsuky on läbinud palju iteratsioone ja evolutsioone, sealhulgas otsene jagunemine kaheks alarühmaks.

Vahepeal näib, et Lazaruse rühm on lisanud a keeruline ja endiselt arenev uus tagauks oma pahavaraarsenali, mida märgati esmakordselt Hispaania lennundusettevõtte eduka küberkompromissi käigus.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers