'KandyKorn' macOS 악성 코드, 암호화 엔지니어 유혹

악명 높은 북한의 지능형 지속 위협(APT) 그룹 나사로 암호화폐 거래소에 연결된 블록체인 엔지니어를 표적으로 삼는 데 사용하는 "KandyKorn"이라는 macOS 악성 코드 형태를 개발했습니다.

A에 따라 Elastic Security Labs의 보고서, KandyKorn은 암호화폐 서비스 및 애플리케이션을 포함하여 피해자의 컴퓨터에서 모든 데이터를 탐지, 액세스 및 훔칠 수 있는 모든 기능을 갖추고 있습니다.

이를 전달하기 위해 Lazarus는 암호화폐 차익거래 봇(암호화폐 교환 플랫폼 간의 암호화폐 환율 차이로 이익을 얻을 수 있는 소프트웨어 도구)으로 가장하는 Python 애플리케이션과 관련된 다단계 접근 방식을 취했습니다. 해당 앱은 'config.py', 'pricetable.py' 등 오해의 소지가 있는 이름을 특징으로 하며 공개 Discord 서버를 통해 배포되었습니다.

그런 다음 이 그룹은 사회 공학 기술을 사용하여 피해자가 봇이 포함된 것으로 알려진 zip 아카이브를 개발 환경에 다운로드하고 압축을 풀도록 장려했습니다. 실제로 이 파일에는 악성 코드가 포함된 사전 빌드된 Python 애플리케이션이 포함되어 있었습니다.

공격 피해자들은 차익 거래 봇을 설치했다고 믿었지만, Python 애플리케이션을 실행하면 KandyKorn 악성 도구 배포로 이어지는 다단계 악성 코드 흐름이 실행되기 시작했다고 Elastic Security 전문가들이 말했습니다.

KandyKorn 악성코드의 감염 루틴

공격은 Watcher.py를 가져오는 Main.py의 실행으로 시작됩니다. 이 스크립트는 Python 버전을 확인하고, 로컬 디렉터리를 설정하고, Google 드라이브에서 TestSpeed.py 및 FinderTools라는 두 개의 스크립트를 직접 검색합니다.

이러한 스크립트는 Sugarloader라는 난독화된 바이너리를 다운로드하고 실행하는 데 사용됩니다. 이 바이너리는 시스템에 대한 초기 액세스 권한을 부여하고 Hloader라는 도구도 포함된 악성 코드의 최종 단계를 준비하는 역할을 합니다.

위협팀은 전체 악성코드 배포 경로를 추적할 수 있었고 KandyKorn이 실행 체인의 마지막 단계라는 결론을 내렸습니다.

그런 다음 KandyKorn 프로세스는 해커의 서버와 통신을 설정하여 백그라운드에서 실행될 수 있도록 합니다.

분석에 따르면 악성코드는 기기와 설치된 애플리케이션을 폴링하지 않고 해커의 직접적인 명령을 기다린다. 이로 인해 생성되는 엔드포인트와 네트워크 아티팩트 수가 줄어들어 탐지 가능성이 제한되는 것으로 분석됐다.

또한 위협 그룹은 난독화 기술로 반사 바이너리 로딩을 사용했는데, 이는 악성코드가 대부분의 탐지 프로그램을 우회하는 데 도움이 되었습니다.

보고서는 "공격자들은 일반적으로 이와 같은 난독화 기술을 사용하여 기존의 정적 서명 기반 맬웨어 방지 기능을 우회합니다"라고 밝혔습니다.

불타오르는 암호화폐 거래소

암호화폐 거래소는 일련의 어려움을 겪었습니다. 2023년의 개인 키 도난 공격, 대부분은 북한 정권에 자금을 지원하기 위해 부당 이득을 사용하는 Lazarus 그룹에 기인합니다. FBI는 최근 이 그룹이 1,580 비트코인 ​​이동 여러 암호화폐 강도로부터 XNUMX개의 서로 다른 비트코인 ​​주소에 자금을 보유하고 있습니다.

XNUMX월에는 공격자가 발견되었습니다. 3D 모델러와 그래픽 디자이너를 대상으로 적어도 2021년 XNUMX월부터 진행 중인 암호화폐 절도 캠페인에서 합법적인 Windows 설치 프로그램 도구의 악성 버전을 사용합니다.

한 달 전, 연구원들은 두 가지 관련 악성 코드 캠페인을 발견했습니다. CherryBlos와 FakeTrade, 암호화폐 절도 및 기타 재정적 동기를 지닌 사기로 Android 사용자를 표적으로 삼았습니다.

북한의 위협이 커지고 있다

조선민주주의인민공화국(DPRK) 내 다양한 ​​APT의 전례 없는 협력으로 인해 추적이 더욱 어려워지고 전략적 대응 노력이 요구되는 공격적이고 복잡한 사이버 공격의 발판이 마련되었다고 APT가 최근 보고했습니다. Mandiant는 경고했습니다..

예를 들어, 북한 지도자 김정은은 Kimsuky라는 이름의 스위스 군용 칼 APT를 보유하고 있는데, 이 APT는 계속해서 전 세계에 덩굴손을 퍼뜨리고 있습니다. 닫히는 연구원들. Kimsuky는 다음을 포함하여 많은 반복과 진화를 거쳤습니다. 두 개의 하위 그룹으로 완전히 분할.

한편, 나사로 그룹은 다음을 추가한 것으로 보입니다. 복잡하고 여전히 진화하는 새로운 백도어 스페인 항공우주 회사의 성공적인 사이버 침해에서 처음 발견된 악성 코드 무기고입니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers