Złośliwe oprogramowanie „KandyKorn” dla systemu macOS wabi inżynierów kryptowalut

Niesławna północnokoreańska grupa zajmująca się zaawansowanymi zagrożeniami trwałymi (APT). Łazarz opracowało formę złośliwego oprogramowania dla systemu macOS o nazwie „KandyKorn”, którego wykorzystuje do atakowania inżynierów blockchain podłączonych do giełd kryptowalut.

Według raport z Elastic Security LabsKandyKorn posiada w pełni funkcjonalny zestaw możliwości wykrywania, uzyskiwania dostępu i kradzieży wszelkich danych z komputera ofiary, w tym usług i aplikacji kryptowalutowych.

Aby to osiągnąć, Lazarus przyjął wieloetapowe podejście, obejmujące aplikację w języku Python udającą bota arbitrażowego kryptowalut (narzędzie programowe zdolne do czerpania korzyści z różnic w kursach kryptowalut pomiędzy platformami wymiany kryptowalut). Aplikacja zawierała mylące nazwy, w tym „config.py” i „pricetable.py”, i była dystrybuowana za pośrednictwem publicznego serwera Discord.

Następnie grupa zastosowała techniki inżynierii społecznej, aby zachęcić swoje ofiary do pobrania i rozpakowania archiwum zip w swoich środowiskach programistycznych, rzekomo zawierającego bota. W rzeczywistości plik zawierał wstępnie skompilowaną aplikację w języku Python ze złośliwym kodem.

Ofiary ataku sądziły, że zainstalowały bota arbitrażowego, ale uruchomienie aplikacji w języku Python zapoczątkowało wieloetapowy przepływ szkodliwego oprogramowania, którego kulminacją było wdrożenie złośliwego narzędzia KandyKorn – twierdzą eksperci Elastic Security.

Procedura infekcji złośliwym oprogramowaniem KandyKorn

Atak rozpoczyna się od wykonania pliku Main.py, który importuje plik Watcher.py. Ten skrypt sprawdza wersję Pythona, konfiguruje katalogi lokalne i pobiera dwa skrypty bezpośrednio z Dysku Google: TestSpeed.py i FinderTools.

Skrypty te służą do pobierania i wykonywania zaciemnionego pliku binarnego o nazwie Sugarloader, odpowiedzialnego za zapewnienie wstępnego dostępu do maszyny i przygotowanie końcowych etapów szkodliwego oprogramowania, które obejmują również narzędzie o nazwie Hloader.

Zespołowi ds. zagrożeń udało się prześledzić całą ścieżkę wdrażania szkodliwego oprogramowania i doszedł do wniosku, że KandyKorn stanowi ostatni etap łańcucha wykonawczego.

Następnie procesy KandyKorn nawiązują komunikację z serwerem hakerów, umożliwiając mu rozgałęzienie się i działanie w tle.

Jak wynika z analizy, szkodliwe oprogramowanie nie odpytuje urządzenia i zainstalowanych aplikacji, ale czeka na bezpośrednie polecenia hakerów, co zmniejsza liczbę tworzonych punktów końcowych i artefaktów sieciowych, ograniczając w ten sposób możliwość wykrycia.

Grupa zagrożeń wykorzystała także odblaskowe ładowanie binarne jako technikę zaciemniania, która pomaga złośliwemu oprogramowaniu ominąć większość programów wykrywających.

„Przeciwnicy powszechnie stosują takie techniki zaciemniania, aby ominąć tradycyjne funkcje ochrony przed złośliwym oprogramowaniem oparte na sygnaturach statycznych” – zauważono w raporcie.

Giełdy kryptowalut pod ostrzałem

Giełdy kryptowalut ucierpiały z powodu serii ataki polegające na kradzieży klucza prywatnego w 2023 r, z których większość przypisuje się grupie Lazarus, która wykorzystuje swoje nieuczciwie zdobyte zyski do finansowania reżimu północnokoreańskiego. FBI niedawno odkryło, że grupa tak zrobiła przeniósł 1,580 bitcoinów z wielu napadów na kryptowaluty, przechowując środki pod sześcioma różnymi adresami bitcoin.

We wrześniu odkryto napastników skierowany do modelarzy 3D i grafików ze złośliwymi wersjami legalnego instalatora systemu Windows w kampanii kradzieży kryptowalut, która trwa co najmniej od listopada 2021 r.

Miesiąc wcześniej badacze odkryli dwie powiązane kampanie szkodliwego oprogramowania, tzw CherryBlos i FakeTrade, którego celem byli użytkownicy Androida w celu kradzieży kryptowalut i innych oszustw motywowanych finansowo.

Rosnące zagrożenie ze strony DPKR

Jak wynika z niedawnego raportu organizacji APT, bezprecedensowa współpraca różnych grup APT w Koreańskiej Republice Ludowo-Demokratycznej (KRLD) utrudnia ich śledzenie, co przygotowuje grunt dla agresywnych, złożonych cyberataków wymagających strategicznego reagowania. Mandiant ostrzegł.

Na przykład przywódca kraju Kim Dzong Un ma szwajcarski scyzoryk APT o nazwie Kimsuky, który w dalszym ciągu rozprzestrzenia swoje macki na całym świecie, co wskazuje, że nie jest zastraszony przez badacze zbliżają się. Kimsuky przeszedł wiele iteracji i ewolucji, w tym wyraźny podział na dwie podgrupy.

Tymczasem wydaje się, że grupa Lazarus dodała złożony i wciąż rozwijający się nowy backdoor do swojego arsenału szkodliwego oprogramowania, wykrytego po raz pierwszy podczas udanego cyberataku hiszpańskiej firmy z branży lotniczej.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers