悪名高い北朝鮮の高度持続的脅威 (APT) グループ ラザロ は、「KandyKorn」と呼ばれる macOS マルウェアの一種を開発し、仮想通貨取引所に関係するブロックチェーン エンジニアをターゲットにするために使用しています。
によると、 Elastic Security Labs からのレポート, KandyKorn は、仮想通貨サービスやアプリケーションを含む、被害者のコンピュータからあらゆるデータを検出、アクセス、盗むためのフル機能のセットを備えています。
これを実現するために、Lazarus は、仮想通貨アービトラージ ボット (仮想通貨交換プラットフォーム間の仮想通貨レートの差から利益を得ることができるソフトウェア ツール) を装った Python アプリケーションを含む多段階アプローチを採用しました。 このアプリには「config.py」や「pricetable.py」などの誤解を招く名前があり、公開 Discord サーバーを通じて配布されました。
その後、このグループはソーシャル エンジニアリング技術を利用して、ボットが含まれているとされる zip アーカイブを開発環境にダウンロードして解凍するよう被害者に促しました。 実際には、このファイルには悪意のあるコードを含む事前に構築された Python アプリケーションが含まれていました。
Elastic Securityの専門家によると、攻撃の被害者らは裁定取引ボットをインストールしたと信じていたが、Pythonアプリケーションの起動により複数段階のマルウェアフローの実行が開始され、最終的にKandyKorn悪意のあるツールの展開に至ったという。
KandyKorn マルウェアの感染ルーチン
攻撃は、Watcher.py をインポートする Main.py の実行から始まります。 このスクリプトは、Python のバージョンをチェックし、ローカル ディレクトリを設定し、Google ドライブから XNUMX つのスクリプト (TestSpeed.py と FinderTools) を直接取得します。
これらのスクリプトは、Sugarloader と呼ばれる難読化されたバイナリをダウンロードして実行するために使用され、マシンへの初期アクセスを許可し、マルウェアの最終段階を準備する役割を果たします。これには、Hloader と呼ばれるツールも必要です。
脅威チームはマルウェアの展開経路全体を追跡することができ、KandyKorn が実行チェーンの最終段階であるという結論を導き出しました。
その後、KandyKorn プロセスはハッカーのサーバーとの通信を確立し、バックグラウンドで分岐して実行できるようにします。
分析によると、このマルウェアはデバイスやインストールされているアプリケーションをポーリングせず、ハッカーからの直接コマンドを待機するため、作成されるエンドポイントとネットワークアーティファクトの数が減り、検出の可能性が制限されます。
この脅威グループは、難読化技術としてリフレクティブ バイナリ ロードも使用しており、これによりマルウェアはほとんどの検出プログラムを回避できます。
「攻撃者は通常、このような難読化技術を使用して、従来の静的署名ベースのマルウェア対策機能をバイパスします」と報告書は指摘しています。
仮想通貨取引所が炎上
仮想通貨取引所は一連の被害を受けている 2023 年の秘密キー盗難攻撃、そのほとんどは、不正に得た利益を北朝鮮政権に資金提供するために利用するラザログループによるものであると考えられています。 FBIは最近、このグループが 1,580ビットコインを移動しました 複数の暗号通貨強盗から、XNUMX つの異なるビットコイン アドレスに資金が保管されています。
XNUMX月に攻撃者が発見された 3D モデラーとグラフィック デザイナーをターゲット 少なくとも 2021 年 XNUMX 月から継続している暗号通貨窃盗キャンペーンで、正規の Windows インストーラー ツールの悪意のあるバージョンが使用されました。
XNUMX か月前、研究者らは、関連する XNUMX つのマルウェア キャンペーンを発見しました。 CherryBlosとFakeTrade、 Android ユーザーをターゲットにして、暗号通貨の盗難やその他の金銭目的の詐欺を行っていました。
増大する北朝鮮の脅威
朝鮮民主主義人民共和国(DPRK)内のさまざまなAPTによる前例のない連携により、APTの追跡が困難になり、戦略的な対応努力を必要とする攻撃的で複雑なサイバー攻撃の準備が整った、と最近の報告書が発表した。 マンディアント氏は警告した.
たとえば、この国の指導者、金正恩氏はキムスキーという名前のスイスアーミーナイフAPTを所有しており、世界中にその蔓を広げ続けており、北朝鮮が脅威に怯えていないことを示している。 接近する研究者。 Kimsuky は多くの反復と進化を経てきました。 XNUMXつのサブグループへの完全な分割.
一方、Lazarus グループは、 複雑かつ進化を続ける新しいバックドア スペインの航空宇宙会社のサイバー侵害が成功した際に初めて発見されました。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers
- :持っている
- :は
- :not
- $UP
- 1
- 2021
- 3d
- 7
- a
- できる
- アクセス
- 従った
- 追加されました
- アドレス
- 高度な
- 航空宇宙
- 積極的な
- 許可
- また
- an
- 分析
- および
- アンドロイド
- どれか
- アプリ
- 登場する
- 申し込み
- アプローチ
- APT
- 裁定取引
- Archive
- です
- 軍
- 周りに
- アーセナル
- AS
- At
- 攻撃
- 攻撃
- 背景
- き
- 信じて
- の間に
- Bitcoin
- ブロックチェーン
- ロボット
- ブランチ
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- 呼ばれます
- キャンペーン
- キャンペーン
- 機能
- できる
- チェーン
- 小切手
- 閉鎖
- コード
- 環境、テクノロジーを推奨
- 一般に
- コミュニケーション
- 会社
- 複雑な
- 妥協
- コンピュータ
- 結論
- 交流
- 含まれている
- 続ける
- 国
- 作成した
- クリプト
- cryptocurrency
- 暗号化交換
- 暗号の交換
- 頂点
- サイバー
- サイバー攻撃
- データ
- 配信する
- 需要
- 民主的な
- 展開
- 検出
- 検出
- 発展した
- 開発
- デバイス
- 違い
- 異なります
- 直接
- 直接に
- ディレクトリ
- 不和
- 発見
- 配布
- ありません
- ダウンロード
- dprk
- 描画
- ドライブ
- ダビングされた
- 努力
- 採用
- 奨励する
- エンジニアリング
- エンジニア
- 全体
- 環境
- 確立する
- 進化
- 進化
- 交換
- 交換について
- 実行します
- 実行
- 専門家
- 米連邦捜査局(FBI)
- 特集
- File
- ファイナル
- 最終段階
- 財政的に
- 名
- フロー
- フォーム
- 発見
- から
- ファンド
- 資金
- 利益
- 与え
- 行って
- でログイン
- グラフィック
- グループ
- ハッカー
- 持っていました
- もっと強く
- 持ってる
- ことができます
- 開催
- HTTPS
- 輸入
- in
- 含めて
- 悪名高いです
- 初期
- 開始
- インストール
- に
- 巻き込む
- 関与
- IT
- 繰り返し
- ITS
- JPG
- キー
- キム
- 韓国
- 韓国語
- 発射
- ラザロ
- ラザログループ
- リーダー
- 最低
- 正当な
- 制限する
- ローディング
- ローカル
- 機械
- MacOSの
- メイン
- 作る
- マルウェア
- 多くの
- 誤解を招く
- 月
- 最も
- やる気
- の試合に
- 名前付き
- 名
- ネットワーク
- 新作
- ノース
- 注意
- 11月
- November 2021
- 数
- of
- 継続
- その他
- でる
- 完全に
- path
- のワークプ
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 世論調査
- 可能性
- 準備中
- 事前の
- ラボレーション
- プログラム
- 公共
- Python
- 価格表
- 最近
- 最近
- 軽減
- 政権
- 関連する
- レポート
- 共和国
- 研究者
- 応答
- 責任
- ラン
- s
- 前記
- 詐欺
- スクリプト
- スクリプト
- セキュリティ
- 9月
- シリーズ
- サービス
- セッションに
- セット
- 設定
- から
- SIX
- 社会
- ソーシャルエンジニアリング
- ソフトウェア
- スペイン語
- split
- 広がる
- ステージ
- ステージ
- まだ
- 戦略的
- 成功した
- そのような
- 苦しんだ
- スイス
- ターゲット
- 対象となります
- チーム
- 技術
- テクニック
- それ
- 世界
- 盗難
- アプリ環境に合わせて
- それら
- その後
- 彼ら
- この
- 脅威
- 介して
- 従って
- 〜へ
- 取った
- ツール
- トレース
- 追跡する
- 伝統的な
- 2
- UN
- 発見
- 下
- 前例のない
- つかいます
- 中古
- users
- 使用されます
- さまざまな
- バージョン
- バージョン
- 被害者
- 犠牲者
- 待つ
- ました
- した
- which
- ウィンドウズ
- 以内
- 世界
- ゼファーネット
- 〒