macOS マルウェア「KandyKorn」が暗号エンジニアを誘惑

悪名高い北朝鮮の高度持続的脅威 (APT) グループ ラザロ は、「KandyKorn」と呼ばれる macOS マルウェアの一種を開発し、仮想通貨取引所に関係するブロックチェーン エンジニアをターゲットにするために使用しています。

によると、 Elastic Security Labs からのレポート, KandyKorn は、仮想通貨サービスやアプリケーションを含む、被害者のコンピュータからあらゆるデータを検出、アクセス、盗むためのフル機能のセットを備えています。

これを実現するために、Lazarus は、仮想通貨アービトラージ ボット (仮想通貨交換プラットフォーム間の仮想通貨レートの差から利益を得ることができるソフトウェア ツール) を装った Python アプリケーションを含む多段階アプローチを採用しました。 このアプリには「config.py」や「pricetable.py」などの誤解を招く名前があり、公開 Discord サーバーを通じて配布されました。

その後、このグループはソーシャル エンジニアリング技術を利用して、ボットが含まれているとされる zip アーカイブを開発環境にダウンロードして解凍するよう被害者に促しました。 実際には、このファイルには悪意のあるコードを含む事前に構築された Python アプリケーションが含まれていました。

Elastic Securityの専門家によると、攻撃の被害者らは裁定取引ボットをインストールしたと信じていたが、Pythonアプリケーションの起動により複数段階のマルウェアフローの実行が開始され、最終的にKandyKorn悪意のあるツールの展開に至ったという。

KandyKorn マルウェアの感染ルーチン

攻撃は、Watcher.py をインポートする Main.py の実行から始まります。 このスクリプトは、Python のバージョンをチェックし、ローカル ディレクトリを設定し、Google ドライブから XNUMX つのスクリプト (TestSpeed.py と FinderTools) を直接取得します。

これらのスクリプトは、Sugarloader と呼ばれる難読化されたバイナリをダウンロードして実行するために使用され、マシンへの初期アクセスを許可し、マルウェアの最終段階を準備する役割を果たします。これには、Hloader と呼ばれるツールも必要です。

脅威チームはマルウェアの展開経路全体を追跡することができ、KandyKorn が実行チェーンの最終段階であるという結論を導き出しました。

その後、KandyKorn プロセスはハッカーのサーバーとの通信を確立し、バックグラウンドで分岐して実行できるようにします。

分析によると、このマルウェアはデバイスやインストールされているアプリケーションをポーリングせず、ハッカーからの直接コマンドを待機するため、作成されるエンドポイントとネットワークアーティファクトの数が減り、検出の可能性が制限されます。

この脅威グループは、難読化技術としてリフレクティブ バイナリ ロードも使用しており、これによりマルウェアはほとんどの検出プログラムを回避できます。

「攻撃者は通常、このような難読化技術を使用して、従来の静的署名ベースのマルウェア対策機能をバイパスします」と報告書は指摘しています。

仮想通貨取引所が炎上

仮想通貨取引所は一連の被害を受けている 2023 年の秘密キー盗難攻撃、そのほとんどは、不正に得た利益を北朝鮮政権に資金提供するために利用するラザログループによるものであると考えられています。 FBIは最近、このグループが 1,580ビットコインを移動しました 複数の暗号通貨強盗から、XNUMX つの異なるビットコイン アドレスに資金が保管されています。

XNUMX月に攻撃者が発見された 3D モデラーとグラフィック デザイナーをターゲット 少なくとも 2021 年 XNUMX 月から継続している暗号通貨窃盗キャンペーンで、正規の Windows インストーラー ツールの悪意のあるバージョンが使用されました。

XNUMX か月前、研究者らは、関連する XNUMX つのマルウェア キャンペーンを発見しました。 CherryBlosとFakeTrade、 Android ユーザーをターゲットにして、暗号通貨の盗難やその他の金銭目的の詐欺を行っていました。

増大する北朝鮮の脅威

朝鮮民主主義人民共和国（DPRK）内のさまざまなAPTによる前例のない連携により、APTの追跡が困難になり、戦略的な対応努力を必要とする攻撃的で複雑なサイバー攻撃の準備が整った、と最近の報告書が発表した。 マンディアント氏は警告した.

たとえば、この国の指導者、金正恩氏はキムスキーという名前のスイスアーミーナイフAPTを所有しており、世界中にその蔓を広げ続けており、北朝鮮が脅威に怯えていないことを示している。 接近する研究者。 Kimsuky は多くの反復と進化を経てきました。 XNUMXつのサブグループへの完全な分割.

一方、Lazarus グループは、 複雑かつ進化を続ける新しいバックドア スペインの航空宇宙会社のサイバー侵害が成功した際に初めて発見されました。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers