קבוצת האיום המתקדם (APT) הידוע לשמצה של צפון קוריאה לזרוס פיתחה סוג של תוכנות זדוניות של macOS בשם "KandyKorn", שבה היא משתמשת כדי למקד מהנדסי בלוקצ'יין המחוברים לבורסות מטבעות קריפטוגרפיים.
פי דו"ח של Elastic Security Labs, ל- KandyKorn יש מערכת מלאה של יכולות לזהות, לגשת ולגנוב כל מידע מהמחשב של הקורבן, כולל שירותי ויישומי קריפטוגרפיים.
כדי לספק את זה, לזרוס נקט בגישה רב-שלבית הכוללת יישום Python המתחזה לבוט ארביטראז' של מטבעות קריפטוגרפיים (כלי תוכנה המסוגל להרוויח מההבדל בשערי מטבעות קריפטוגרפיים בין פלטפורמות החלפת מטבעות קריפטוגרפיים). האפליקציה כללה שמות מטעים, כולל "config.py" ו-"pricetable.py", והופצה דרך שרת דיסקורד ציבורי.
לאחר מכן, הקבוצה השתמשה בטכניקות הנדסה חברתית כדי לעודד את קורבנותיה להוריד ולפתוח ארכיון zip לתוך סביבות הפיתוח שלהם, המכילה לכאורה את הבוט. למעשה, הקובץ הכיל יישום Python שנבנה מראש עם קוד זדוני.
קורבנות המתקפה האמינו שהם התקינו בוט ארביטראז', אך השקת אפליקציית Python יזמה ביצוע של זרימת תוכנות זדוניות רב-שלביות שהגיעה לשיאה בפריסה של הכלי הזדוני KandyKorn, אמרו מומחי Elastic Security.
שגרת הזיהום של KandyKorn Malware
המתקפה מתחילה בביצוע של Main.py, המייבאת את Watcher.py. סקריפט זה בודק את גרסת Python, מגדיר ספריות מקומיות ומחזיר שני סקריפטים ישירות מ-Google Drive: TestSpeed.py ו-FinderTools.
סקריפטים אלו משמשים להורדה וביצוע של קובץ בינארי מעורפל בשם Sugarloader, האחראי על מתן גישה ראשונית למכונה והכנת השלבים האחרונים של התוכנה הזדונית, הכוללים גם כלי שנקרא Hloader.
צוות האיומים הצליח לאתר את כל נתיב הפריסה של תוכנות זדוניות, והסיק את המסקנה שקנדיקורן הוא השלב האחרון בשרשרת הביצוע.
לאחר מכן, תהליכי KandyKorn יוצרים תקשורת עם שרת ההאקרים, ומאפשרים לו להסתעף ולרוץ ברקע.
התוכנה הזדונית אינה מסקרת את המכשיר והאפליקציות המותקנות אלא ממתינה לפקודות ישירות מההאקרים, לפי הניתוח, מה שמפחית את מספר נקודות הקצה וחפצי הרשת שנוצרו, ובכך מגביל את אפשרות הגילוי.
קבוצת האיומים השתמשה גם בטעינה בינארית רפלקטיבית כטכניקת ערפול, המסייעת לתוכנות זדוניות לעקוף את רוב תוכניות הזיהוי.
"יריבים משתמשים בדרך כלל בטכניקות ערפול כגון זה כדי לעקוף יכולות מסורתיות מבוססות חתימות סטטיות נגד תוכנות זדוניות", צוין בדו"ח.
חילופי מטבעות קריפטו תחת אש
בורסות מטבעות קריפטו סבלו מסדרה של התקפות גניבת מפתח פרטי בשנת 2023, רובם יוחסו לקבוצת לזרוס, שמנצלת את רווחיה שלא הושגו כדי לממן את המשטר הצפון קוריאני. ה-FBI מצא לאחרונה שיש לקבוצה העביר 1,580 ביטקוין משודדים מרובים של מטבעות קריפטוגרפיים, מחזיק את הכספים בשש כתובות ביטקוין שונות.
בספטמבר התגלו תוקפים מיקוד למעצבים ומעצבים גרפיים בתלת מימד עם גרסאות זדוניות של כלי התקנה לגיטימי של Windows במסע פרסום לגנבת מטבעות קריפטוגרפיים שנמשך לפחות מאז נובמבר 2021.
חודש לפני כן, חוקרים חשפו שני מסעות פרסום הקשורים בתוכנות זדוניות, שכונו CherryBlos ו-FakeTrade, אשר כיוון למשתמשי אנדרואיד עבור גניבת מטבעות קריפטוגרפיים והונאות אחרות על רקע כלכלי.
איום הולך וגובר מ-DPKR
שיתוף פעולה חסר תקדים של APTs שונים בתוך הרפובליקה העממית הדמוקרטית של קוריאה (DPRK) מקשה על המעקב אחריהם, מה שמציב את הבמה להתקפות סייבר אגרסיביות ומורכבות הדורשות מאמצי תגובה אסטרטגית, דו"ח שפורסם לאחרונה מנדיאנט הזהיר.
לדוגמה, למנהיג המדינה, קים ג'ונג און, יש אולר שוויצרי APT בשם Kimsuky, שממשיך להפיץ את הקנוקנות שלו ברחבי העולם, מה שמעיד על כך שהוא לא נבהל מה- חוקרים מתקרבים. קימסוקי עבר איטרציות ואבולוציות רבות, כולל פיצול מוחלט לשתי תת-קבוצות.
בינתיים, נראה שקבוצת לזרוס הוסיפה א דלת אחורית חדשה מורכבת ועדיין מתפתחת לארסנל התוכנות הזדוניות שלה, שזוהתה לראשונה בפשרת סייבר מוצלחת של חברת תעופה ספרדית.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers
- :יש ל
- :הוא
- :לֹא
- $ למעלה
- 1
- 2021
- 3d
- 7
- a
- יכול
- גישה
- פי
- הוסיף
- כתובות
- מתקדם
- אווירי
- תוֹקפָּנִי
- מאפשר
- גם
- an
- אנליזה
- ו
- דְמוּי אָדָם
- כל
- האפליקציה
- מופיע
- בקשה
- יישומים
- גישה
- APT
- ארביטראז'
- ארכיון
- ARE
- צָבָא
- סביב
- ארסנל
- AS
- At
- לתקוף
- המתקפות
- רקע
- היה
- האמין
- בֵּין
- ביטקוין
- blockchain
- בוט
- סניף
- אבל
- by
- נקרא
- מבצע
- קמפיינים
- יכולות
- מסוגל
- שרשרת
- בדיקות
- סגירה
- קוד
- שיתוף פעולה
- בדרך כלל
- תקשורת
- חברה
- מורכב
- פשרה
- המחשב
- מסקנה
- מחובר
- הכלול
- ממשיך
- מדינה
- נוצר
- קריפטו
- מטבע מבוזר
- המרת
- בורסות בקריפטו
- בשיאה
- סייבר
- התקפות רשת
- נתונים
- למסור
- דרישה
- דֵמוֹקרָטִי
- פריסה
- לאתר
- איתור
- מפותח
- צעצועי התפתחות
- מכשיר
- הבדל
- אחר
- ישיר
- ישירות
- ספריות
- מחלוקת
- גילה
- מופץ
- עושה
- להורדה
- dprk
- ציור
- נהיגה
- דיבוב
- מַאֲמָצִים
- מוּעֳסָק
- לעודד
- הנדסה
- מהנדסים
- שלם
- סביבות
- להקים
- התפתחויות
- מתפתח
- חליפין
- בורסות
- לבצע
- הוצאת להורג
- מומחים
- FBI
- מומלצים
- שלח
- סופי
- שלבים אחרונים
- כלכלית
- ראשון
- תזרים
- בעד
- טופס
- מצא
- החל מ-
- קרן
- כספים
- רווחים
- נתינה
- נעלם
- גרפי
- קְבוּצָה
- האקרים
- היה
- קשה
- יש
- עוזר
- מחזיק
- HTTPS
- יבוא
- in
- כולל
- מְתוֹעָב
- בתחילה
- יזם
- מותקן
- למשל
- אל תוך
- לערב
- מעורב
- IT
- איטרציות
- שֶׁלָה
- jpg
- מפתח
- קים
- קוריאה
- קוריאני
- השקה
- לזרוס
- קבוצת לזרוס
- מנהיג
- הכי פחות
- לגיטימי
- מגביל
- טוען
- מקומי
- מכונה
- MacOS
- ראשי
- עושה
- תוכנות זדוניות
- רב
- מַטעֶה
- חוֹדֶשׁ
- רוב
- מוטיבציה
- מספר
- שם
- שמות
- רשת
- חדש
- צפון
- ציין
- נוֹבֶמבֶּר
- נובמבר 2021
- מספר
- of
- מתמשך
- אחר
- הַחוּצָה
- מוּחלָט
- נתיב
- אֲנָשִׁים
- פלטפורמות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- בו
- אפשרות
- העריכה
- קודם
- תהליכים
- תוכניות
- ציבורי
- פיתון
- תעריפים
- לאחרונה
- לאחרונה
- מפחית
- משטר
- קָשׁוּר
- לדווח
- רפובליקה
- חוקרים
- תגובה
- אחראי
- הפעלה
- s
- אמר
- הונאות
- תסריט
- סקריפטים
- אבטחה
- סֶפּטֶמבֶּר
- סדרה
- שרת
- שירותים
- סט
- סטים
- הצבה
- since
- שישה
- חֶברָתִי
- הנדסה חברתית
- תוכנה
- ספרדי
- לפצל
- התפשטות
- התמחות
- שלבים
- עוד
- אסטרטגי
- מוצלח
- כזה
- סבל
- השוויצרי
- יעד
- ממוקד
- נבחרת
- טכניקה
- טכניקות
- זֶה
- השמיים
- העולם
- גְנֵבָה
- שֶׁלָהֶם
- אותם
- אז
- הֵם
- זֶה
- איום
- דרך
- כָּך
- ל
- לקח
- כלי
- עקבות
- לעקוב
- מסורתי
- שתיים
- UN
- חָשׂוּף
- תחת
- חסר תקדים
- להשתמש
- מְשׁוּמָשׁ
- משתמשים
- שימושים
- באמצעות
- שונים
- גרסה
- גירסאות
- קרבן
- קורבנות
- מחכה
- היה
- היו
- אשר
- חלונות
- עם
- בתוך
- עוֹלָם
- זפירנט
- רוכסן