Pahamaineinen Pohjois-Korean kehittynyt jatkuva uhka (APT) -ryhmä Lazarus on kehittänyt eräänlaisen macOS-haittaohjelman nimeltä "KandyKorn", jota se käyttää kryptovaluuttapörsseihin liittyvien lohkoketjuinsinöörien kohdistamiseen.
Mukaan Elastic Security Labsin raportti, KandyKornilla on monipuoliset ominaisuudet tunnistaa, käyttää ja varastaa tietoja uhrin tietokoneelta, mukaan lukien kryptovaluuttapalvelut ja -sovellukset.
Sen toteuttamiseksi Lazarus otti käyttöön monivaiheisen lähestymistavan, johon sisältyi Python-sovellus, joka naamioitui kryptovaluuttojen arbitraasibotiksi (ohjelmistotyökalu, joka pystyy hyötymään kryptovaluuttakurssien eroista kryptovaluutanvaihtoalustojen välillä). Sovellus sisälsi harhaanjohtavia nimiä, kuten "config.py" ja "pricetable.py", ja sitä jaettiin julkisen Discord-palvelimen kautta.
Tämän jälkeen ryhmä käytti sosiaalisen suunnittelun tekniikoita kannustaakseen uhrejaan lataamaan ja purkamaan zip-arkiston kehitysympäristöönsä, jonka väitetään sisältävän botin. Todellisuudessa tiedosto sisälsi valmiiksi rakennetun Python-sovelluksen, jossa oli haitallista koodia.
Hyökkäyksen uhrit uskoivat asentaneensa arbitraasibotin, mutta Python-sovelluksen käynnistäminen käynnisti monivaiheisen haittaohjelmavirran, joka huipentui KandyKorn-haittatyökalun käyttöönottoon, Elastic Securityn asiantuntijat sanoivat.
KandyKornin haittaohjelmien infektiorutiini
Hyökkäys alkaa suorittamalla Main.py, joka tuo Watcher.py:n. Tämä komentosarja tarkistaa Python-version, määrittää paikalliset hakemistot ja hakee kaksi komentosarjaa suoraan Google Drivesta: TestSpeed.py ja FinderTools.
Näitä skriptejä käytetään Sugarloader-nimisen obfuskoidun binaarin lataamiseen ja suorittamiseen. Se on vastuussa koneen alkupääsyn antamisesta ja haittaohjelman viimeisten vaiheiden valmistelusta, johon sisältyy myös Hloader-niminen työkalu.
Uhkaryhmä pystyi jäljittämään koko haittaohjelmien käyttöönottopolun ja päätyi siihen, että KandyKorn on suoritusketjun viimeinen vaihe.
KandyKorn-prosessit muodostavat sitten yhteyden hakkereiden palvelimeen, jolloin se haarautuu ja toimii taustalla.
Haittaohjelma ei pollaa laitetta ja asennettuja sovelluksia, vaan odottaa analyysin mukaan suoria komentoja hakkereilta, mikä vähentää syntyvien päätepisteiden ja verkkoartefaktien määrää ja rajoittaa siten havaitsemismahdollisuuksia.
Uhkaryhmä käytti myös heijastavaa binaarilatausta hämärätekniikkana, joka auttaa haittaohjelmia ohittamaan useimmat tunnistusohjelmat.
"Vastaajat käyttävät yleensä tämän kaltaisia hämärätekniikoita ohittaakseen perinteiset staattisiin allekirjoituksiin perustuvat haittaohjelmien torjuntaominaisuudet", raportissa todettiin.
Kryptovaluuttojen vaihto tulessa
Kryptovaluuttojen pörssit ovat kärsineet sarjasta yksityisen avaimen varkaushyökkäykset vuonna 2023, joista suurin osa on katsottu Lazarus-ryhmälle, joka käyttää väärin hankittuja voittojaan Pohjois-Korean hallinnon rahoittamiseen. FBI havaitsi hiljattain, että ryhmällä oli siirsi 1,580 bitcoinia useista kryptovaluuttaryöstöistä pitäen varat kuudessa eri bitcoin-osoitteessa.
Syyskuussa hyökkääjät löydettiin suunnattu 3D-mallintajille ja graafisille suunnittelijoille laillisen Windows-asennustyökalun haitallisilla versioilla kryptovaluuttavarkauskampanjassa, joka on jatkunut ainakin marraskuusta 2021 lähtien.
Kuukautta aiemmin tutkijat paljastivat kaksi toisiinsa liittyvää haittaohjelmakampanjaa CherryBlos ja FakeTrade, joka kohdistui Android-käyttäjiin kryptovaluuttavarkauksiin ja muihin taloudellisesti motivoituihin huijauksiin.
Kasvava uhka DPKR:ltä
Korean demokraattisessa kansantasavallassa (Korean demokraattisessa kansantasavallassa) erilaisten APT:iden ennennäkemätön yhteistyö tekee niiden jäljittämisestä vaikeampaa, mikä luo alustan aggressiivisille, monimutkaisille kyberhyökkäyksille, jotka vaativat strategista vastausta, tuore raportti. Mandiant varoitti.
Esimerkiksi maan johtajalla Kim Jong Unilla on Sveitsin armeijan APT-veitsi nimeltä Kimsuky, joka levittää edelleen lonkeroitaan ympäri maailmaa, mikä osoittaa, että se ei pelkää sitä. tutkijat lähestyvät. Kimsuky on käynyt läpi monia iteraatioita ja evoluutioita, mukaan lukien jakaantui suoraan kahteen alaryhmään.
Sillä välin Lazarus-ryhmä näyttää lisänneen a monimutkainen ja edelleen kehittyvä uusi takaovi haittaohjelmaarsenaaliinsa, joka havaittiin ensimmäisen kerran espanjalaisen ilmailualan yrityksen onnistuneessa kyberkompromississa.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers
- :on
- :On
- :ei
- $ YLÖS
- 1
- 2021
- 3d
- 7
- a
- pystyy
- pääsy
- Mukaan
- lisä-
- osoitteet
- kehittynyt
- Aerospace
- aggressiivinen
- Salliminen
- Myös
- an
- analyysi
- ja
- android
- Kaikki
- sovelluksen
- näyttää
- Hakemus
- sovellukset
- lähestymistapa
- APT
- katvealueiden
- Archive
- OVAT
- Armeija
- noin
- Arsenal
- AS
- At
- hyökkäys
- Hyökkäykset
- tausta
- ollut
- uskoi
- välillä
- Bitcoin
- blockchain
- Bot
- Sivuliike
- mutta
- by
- nimeltään
- Kampanja
- Kampanjat
- kyvyt
- kykenee
- ketju
- Tarkastukset
- sulkeminen
- koodi
- yhteistyö
- yleisesti
- Viestintä
- yritys
- monimutkainen
- kompromissi
- tietokone
- johtopäätös
- kytketty
- sisälsi
- jatkuu
- maa
- luotu
- Crypto
- kryptovaluutta
- Cryptocurrency Exchange
- Kryptocurrency vaihto
- huipentui
- cyber
- cyberattacks
- tiedot
- toimittaa
- Kysyntä
- demokraattinen
- käyttöönotto
- havaita
- Detection
- kehitetty
- Kehitys
- laite
- ero
- eri
- ohjata
- suoraan
- hakemistot
- epäsopu
- löysi
- jaettu
- ei
- download
- dprk
- piirustus
- ajaa
- dubattuna
- ponnisteluja
- Työllisiä
- kannustaa
- Tekniikka
- Engineers
- Koko
- ympäristöissä
- perustaa
- kehitys
- kehittyvä
- Vaihdetaan
- Vaihto
- suorittaa
- teloitus
- asiantuntijat
- FBI
- varustellun
- filee
- lopullinen
- viimeiset vaiheet
- taloudellisesti
- Etunimi
- virtaus
- varten
- muoto
- löytyi
- alkaen
- rahasto
- varat
- voitto
- Antaminen
- poissa
- Graafinen
- Ryhmä
- hakkerit
- HAD
- kovemmin
- Olla
- auttaa
- pito
- HTTPS
- tuonti
- in
- Mukaan lukien
- pahamaineinen
- ensimmäinen
- aloitettu
- asennetaan
- esimerkki
- tulee
- aiheuttaa
- johon
- IT
- toistojen
- SEN
- jpg
- avain
- Kim
- Korea
- Korean
- käynnistäminen
- Lazarus
- Lasarus-ryhmä
- johtaja
- vähiten
- laillinen
- rajoittamalla
- lastaus
- paikallinen
- kone
- MacOS
- tärkein
- TEE
- haittaohjelmat
- monet
- harhaanjohtava
- Kuukausi
- eniten
- motivoituneita
- moninkertainen
- nimetty
- nimet
- verkko
- Uusi
- Pohjoiseen
- huomattava
- marraskuu
- marraskuu 2021
- numero
- of
- jatkuva
- Muut
- ulos
- suoranainen
- polku
- Ihmiset
- Platforms
- Platon
- Platonin tietotieto
- PlatonData
- äänestys
- mahdollisuus
- valmistelee
- Aikaisempi
- Prosessit
- Ohjelmat
- julkinen
- Python
- Hinnat
- äskettäinen
- äskettäin
- vähentää
- järjestelmä
- liittyvä
- raportti
- Tasavalta
- Tutkijat
- vastaus
- vastuullinen
- ajaa
- s
- Said
- huijauksia
- käsikirjoitus
- skriptejä
- turvallisuus
- syyskuu
- Sarjat
- palvelin
- Palvelut
- setti
- Setit
- asetus
- koska
- SIX
- sosiaalinen
- Sosiaalinen insinööri
- Tuotteemme
- Espanjan
- jakaa
- levitä
- Vaihe
- vaiheissa
- Yhä
- Strateginen
- onnistunut
- niin
- kärsi
- Sveitsiläinen
- Kohde
- kohdennettu
- joukkue-
- tekniikka
- tekniikat
- että
- -
- maailma
- varkaus
- heidän
- Niitä
- sitten
- ne
- tätä
- uhkaus
- Kautta
- Näin
- että
- otti
- työkalu
- Jäljittää
- raita
- perinteinen
- kaksi
- UN
- kattamaton
- varten
- ennennäkemätön
- käyttää
- käytetty
- Käyttäjät
- käyttötarkoituksiin
- käyttämällä
- eri
- versio
- versiot
- Uhri
- uhrit
- odottaa
- oli
- olivat
- joka
- ikkunat
- with
- sisällä
- maailman-
- zephyrnet
- Postinumero
