A hírhedt észak-koreai fejlett tartós fenyegetés (APT) csoport Lázár kifejlesztett egy „KandyKorn” nevű macOS kártevőt, amelyet a kriptovaluta tőzsdékhez kapcsolódó blokklánc-mérnökök megcélzására használ.
A találmány egy az Elastic Security Labs jelentése, a KandyKorn teljes körű képességekkel rendelkezik az áldozat számítógépén lévő adatok észlelésére, elérésére és ellopására, beleértve a kriptovaluta szolgáltatásokat és alkalmazásokat.
A megvalósításhoz a Lazarus többlépcsős megközelítést alkalmazott, egy Python-alkalmazást alkalmazva, amely kriptovaluta arbitrázsbotnak álcázza magát (olyan szoftvereszköz, amely képes profitálni a kriptovaluta csereplatformok közötti kriptovaluta árfolyamok különbségéből). Az alkalmazás félrevezető neveket tartalmazott, köztük a „config.py” és a „pricetable.py”, és egy nyilvános Discord-szerveren keresztül terjesztették.
A csoport ezután social engineering technikákat alkalmazott, hogy arra ösztönözze áldozatait, hogy töltsenek le és bontsanak ki egy zip-archívumot fejlesztői környezetükbe, amely állítólag tartalmazza a botot. Valójában a fájl egy előre elkészített Python alkalmazást tartalmazott rosszindulatú kóddal.
Az Elastic Security szakértői szerint a támadás áldozatai azt hitték, hogy arbitrázsbotot telepítettek, de a Python alkalmazás elindítása többlépcsős rosszindulatú programfolyamat futtatását indította el, amely a KandyKorn rosszindulatú eszköz telepítésével zárult.
KandyKorn Malware fertőzési rutinja
A támadás a Main.py végrehajtásával kezdődik, amely a Watcher.py fájlt importálja. Ez a szkript ellenőrzi a Python verziót, beállítja a helyi könyvtárakat, és két szkriptet kér le közvetlenül a Google Drive-ról: a TestSpeed.py és a FinderTools.
Ezek a szkriptek a Sugarloader nevű obfuszkált bináris letöltésére és végrehajtására szolgálnak, amely a géphez való kezdeti hozzáférés biztosításáért és a kártevő végső szakaszának előkészítéséért felelős, amely magában foglalja a Hloader nevű eszközt is.
A fenyegető csoport nyomon tudta követni a rosszindulatú programok teljes telepítési útvonalát, és arra a következtetésre jutott, hogy a KandyKorn a végrehajtási lánc utolsó szakasza.
A KandyKorn folyamatai ezután kommunikációt létesítenek a hackerek szerverével, lehetővé téve az elágazást és a háttérben való futását.
A kártevő nem lekérdezi az eszközt és a telepített alkalmazásokat, hanem a hackerek közvetlen parancsára vár az elemzés szerint, ami csökkenti a létrejövő végpontok és hálózati műtermékek számát, így korlátozza az észlelés lehetőségét.
A fenyegetettségi csoport a tükröző bináris betöltést is alkalmazta elhomályosítási technikaként, amely segít a rosszindulatú programoknak a legtöbb észlelőprogram megkerülésében.
„Az ellenfelek gyakran használnak ilyen elhomályosítási technikákat a hagyományos statikus aláírás-alapú kártevőirtó képességek megkerülésére” – jegyezte meg a jelentés.
Kriptovaluta tőzsdék tűz alatt
A kriptovaluta tőzsdék sorozatosan szenvedtek magánkulcs-lopási támadások 2023-ban, amelyek többségét a Lazarus csoportnak tulajdonítják, amely jogtalanul szerzett nyereségét az észak-koreai rezsim finanszírozására használja fel. Az FBI nemrég megállapította, hogy a csoport rendelkezik 1,580 bitcoint mozgott meg több kriptovaluta rablásból, hat különböző bitcoin címen tartva az alapokat.
Szeptemberben fedezték fel a támadókat 3D-modellezőket és grafikusokat céloz meg egy legitim Windows-telepítő eszköz rosszindulatú verzióival egy kriptovaluta-lopó kampányban, amely legalább 2021 novembere óta tart.
Egy hónappal korábban a kutatók két kapcsolódó rosszindulatú programkampányt fedeztek fel CherryBlos és FakeTrade, amely az Android-felhasználókat célozta meg kriptovaluta-lopások és egyéb pénzügyi indíttatású csalások miatt.
Növekvő fenyegetés a DPKR részéről
A Koreai Népi Demokratikus Köztársaságban (KNDK) belüli különböző APT-k példátlan együttműködése megnehezíti nyomon követésüket, megalapozva az agresszív, összetett kibertámadásokat, amelyek stratégiai válaszlépéseket igényelnek – figyelmeztetett Mandiant.
Például az ország vezetőjének, Kim Dzsong Unnak van egy svájci APT-kése, a Kimsuky, amely továbbra is terjeszti indáit az egész világon, jelezve, hogy nem ijeszti meg a a kutatók közelednek. Kimsuky számos iteráción és evolúción ment keresztül, többek között egyenesen két alcsoportra oszlik.
Eközben a Lazarus csoport a jelek szerint hozzáadott egy összetett és még mindig fejlődő új hátsó ajtó rosszindulatú programarzenáljába, amelyet először egy spanyol repülőgépipari vállalat sikeres kiberkompromisszumában vettek észre.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers
- :van
- :is
- :nem
- $ UP
- 1
- 2021
- 3d
- 7
- a
- Képes
- hozzáférés
- Szerint
- hozzáadott
- címek
- fejlett
- légtér
- agresszív
- lehetővé téve
- Is
- an
- elemzés
- és a
- android
- bármilyen
- app
- Megjelenik
- Alkalmazás
- alkalmazások
- megközelítés
- APT
- arbitrázs
- Archív
- VANNAK
- Hadsereg
- körül
- fegyverraktár
- AS
- At
- támadás
- Támadások
- háttér
- óta
- úgy
- között
- Bitcoin
- blockchain
- Bot
- Ág
- de
- by
- hívott
- Kampány
- Kampányok
- képességek
- képes
- lánc
- Ellenőrzések
- záró
- kód
- együttműködés
- általában
- közlés
- vállalat
- bonyolult
- kompromisszum
- számítógép
- következtetés
- összefüggő
- tartalmazott
- tovább
- ország
- készítette
- crypto
- cryptocurrency
- Kriptovaluta tőzsde
- Cryptocurrency csere
- tetőzve
- cyber
- cyberattacks
- dátum
- szállít
- Kereslet
- demokratikus
- bevetés
- kimutatására
- Érzékelés
- fejlett
- Fejlesztés
- eszköz
- különbség
- különböző
- közvetlen
- közvetlenül
- könyvtárak
- viszály
- felfedezett
- megosztott
- nem
- letöltés
- KNDK
- rajz
- hajtás
- szinkronizált
- erőfeszítések
- munkavállaló
- ösztönzése
- Mérnöki
- Mérnökök
- Egész
- környezetek
- létrehozni
- evolúciók
- fejlődik
- csere
- Feltételek
- kivégez
- végrehajtás
- szakértők
- FBI
- jellegű
- filé
- utolsó
- utolsó szakaszai
- pénzügyileg
- vezetéknév
- áramlási
- A
- forma
- talált
- ból ből
- alap
- alapok
- Nyereség
- Giving
- elmúlt
- Grafikus
- Csoport
- hackerek
- kellett
- nehezebb
- Legyen
- segít
- holding
- HTTPS
- behozatal
- in
- Beleértve
- aljas
- kezdetben
- kezdeményezett
- telepítve
- példa
- bele
- vonja
- bevonásával
- IT
- iterációk
- ITS
- jpg
- Kulcs
- Kim
- korea
- koreai
- indítás
- Lázár
- Lazarus csoport
- vezető
- legkevésbé
- jogos
- korlátozó
- betöltés
- helyi
- gép
- MacOS
- Fő
- KÉSZÍT
- malware
- sok
- félrevezető
- Hónap
- a legtöbb
- motivált
- többszörös
- Nevezett
- nevek
- hálózat
- Új
- Északi
- neves
- november
- november 2021
- szám
- of
- folyamatban lévő
- Más
- ki
- nyílt
- ösvény
- Emberek (People)
- Platformok
- Plató
- Platón adatintelligencia
- PlatoData
- szavazás
- lehetőség
- előkészítése
- Előzetes
- Folyamatok
- Programok
- nyilvános
- Piton
- Az árak
- új
- nemrég
- csökkenti
- rezsim
- összefüggő
- jelentést
- Köztársaság
- kutatók
- válasz
- felelős
- futás
- s
- Mondott
- csalások
- forgatókönyv
- szkriptek
- biztonság
- szeptember
- Series of
- szerver
- Szolgáltatások
- készlet
- Szettek
- beállítás
- óta
- SIX
- Közösség
- Szociális tervezés
- szoftver
- spanyol
- osztott
- terjedése
- Színpad
- állapota
- Még mindig
- Stratégiai
- sikeres
- ilyen
- elszenvedett
- Svájci
- cél
- célzott
- csapat
- technika
- technikák
- hogy
- A
- a világ
- lopás
- azok
- Őket
- akkor
- ők
- ezt
- fenyegetés
- Keresztül
- Így
- nak nek
- vett
- szerszám
- Nyom
- vágány
- hagyományos
- kettő
- UN
- fedetlen
- alatt
- példátlan
- használ
- használt
- Felhasználók
- használ
- segítségével
- különféle
- változat
- verzió
- Áldozat
- áldozatok
- várakozik
- volt
- voltak
- ami
- ablakok
- val vel
- belül
- világ
- zephyrnet
- Postai irányítószám