Infamul grup nord-coreean de amenințare persistentă avansată (APT). Lazăr a dezvoltat o formă de malware macOS numită „KandyKorn”, pe care o folosește pentru a viza inginerii blockchain conectați la schimburile de criptomonede.
Potrivit unui raport de la Elastic Security Labs, KandyKorn are un set complet de capabilități pentru a detecta, accesa și fura orice date de pe computerul victimei, inclusiv serviciile și aplicațiile criptomonede.
Pentru a-l livra, Lazarus a adoptat o abordare în mai multe etape care implică o aplicație Python mascată ca un bot de arbitraj al criptomonedei (un instrument software capabil să profite de diferența dintre ratele criptomonedelor dintre platformele de schimb de criptomonede). Aplicația conținea nume înșelătoare, inclusiv „config.py” și „pricetable.py” și a fost distribuită printr-un server Discord public.
Apoi, grupul a folosit tehnici de inginerie socială pentru a-și încuraja victimele să descarce și să dezarhiveze o arhivă zip în mediile lor de dezvoltare, care se presupune că conține botul. De fapt, fișierul conținea o aplicație Python preconstruită cu cod rău intenționat.
Victimele atacului credeau că au instalat un bot de arbitraj, dar lansarea aplicației Python a inițiat execuția unui flux de malware în mai mulți pași, care a culminat cu implementarea instrumentului rău intenționat KandyKorn, au spus experții Elastic Security.
Rutina de infecție a programelor malware KandyKorn
Atacul începe cu executarea Main.py, care importă Watcher.py. Acest script verifică versiunea Python, creează directoare locale și preia două scripturi direct din Google Drive: TestSpeed.py și FinderTools.
Aceste scripturi sunt folosite pentru a descărca și executa un binar obscur numit Sugarloader, responsabil pentru acordarea accesului inițial la mașină și pregătirea etapelor finale ale malware-ului, care implică și un instrument numit Hloader.
Echipa de amenințări a reușit să urmărească întreaga cale de implementare a malware-ului, ajungând la concluzia că KandyKorn este etapa finală a lanțului de execuție.
Procesele KandyKorn stabilesc apoi comunicarea cu serverul hackerilor, permițându-i acestuia să se ramifice și să ruleze în fundal.
Malware-ul nu interogează dispozitivul și aplicațiile instalate, ci așteaptă comenzi directe de la hackeri, potrivit analizei, ceea ce reduce numărul de endpoint-uri și artefacte de rețea create, limitând astfel posibilitatea de detectare.
Grupul de amenințări a folosit, de asemenea, încărcarea binară reflectivă ca tehnică de ofuscare, care ajută malware-ul să ocolească majoritatea programelor de detectare.
„Adversarii folosesc în mod obișnuit tehnici de ofuscare ca aceasta pentru a ocoli capabilitățile antimalware tradiționale bazate pe semnături statice”, se arată în raport.
Schimburile de criptomonede sub foc
Schimburile de criptomonede au suferit o serie de atacuri de furt de chei private în 2023, dintre care majoritatea au fost atribuite grupului Lazarus, care își folosește câștigurile obținute rău pentru a finanța regimul nord-coreean. FBI-ul a descoperit recent că grupul avea a mutat 1,580 de bitcoini din mai multe furturi de criptomonede, deținând fondurile în șase adrese bitcoin diferite.
În septembrie, atacatorii au fost descoperiți care vizează modelatorii 3D și designerii grafici cu versiuni rău intenționate ale unui instrument de instalare Windows legitim într-o campanie de furt de criptomonede care se desfășoară cel puțin din noiembrie 2021.
Cu o lună înainte, cercetătorii au descoperit două campanii de malware asociate, numite CherryBlos și FakeTrade, care a vizat utilizatorii Android pentru furtul de criptomonede și alte escrocherii motivate financiar.
Amenințare în creștere din partea DPKR
O colaborare fără precedent a diferitelor APT-uri din Republica Populară Democrată Coreea (RPDC) le face mai greu de urmărit, creând terenul pentru atacuri cibernetice agresive și complexe, care necesită eforturi de răspuns strategic, un raport recent de la a avertizat Mandiant.
De exemplu, liderul țării, Kim Jong Un, are un cuțit al armatei elvețiene APT numit Kimsuky, care continuă să-și răspândească firele în întreaga lume, indicând că nu este intimidat de cercetătorii care se apropie. Kimsuky a trecut prin multe iterații și evoluții, inclusiv o împărțire totală în două subgrupe.
Între timp, grupul Lazăr pare să fi adăugat a noua ușă din spate complexă și în continuă evoluție la arsenalul său de malware, observat pentru prima dată într-un compromis cibernetic de succes al unei companii aerospațiale spaniole.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers
- :are
- :este
- :nu
- $UP
- 1
- 2021
- 3d
- 7
- a
- Capabil
- acces
- Conform
- adăugat
- adrese
- avansat
- Industria aerospațială
- agresiv
- Permiterea
- de asemenea
- an
- analiză
- și
- Android
- Orice
- aplicaţia
- apare
- aplicație
- aplicatii
- abordare
- APT
- arbitrajul
- arhivă
- SUNT
- Armată
- în jurul
- Arsenal
- AS
- At
- ataca
- Atacuri
- fundal
- fost
- credea
- între
- Bitcoin
- blockchain
- Bot
- Branch firma
- dar
- by
- denumit
- Campanie
- Campanii
- capacități
- capabil
- lanţ
- Verificări
- închidere
- cod
- colaborare
- în mod obișnuit
- Comunicare
- companie
- complex
- compromis
- calculator
- concluzie
- legat
- conținute
- continuă
- ţară
- a creat
- cripto
- cryptocurrency
- Schimb de criptomonede
- Schimburi de criptocurrency
- culminant
- Cyber
- atacuri cibernetice
- de date
- livra
- Cerere
- democratic
- desfășurarea
- detecta
- Detectare
- dezvoltat
- Dezvoltare
- dispozitiv
- diferenţă
- diferit
- direcționa
- direct
- directoare
- discordie
- a descoperit
- distribuite
- face
- Descarca
- Coreea de Nord
- desen
- conduce
- numit
- Eforturile
- angajat
- încuraja
- Inginerie
- inginerii
- Întreg
- medii
- stabili
- evoluții
- evoluție
- schimb
- Platforme de tranzacţionare
- a executa
- execuție
- experți
- FBI
- Recomandate
- Fișier
- final
- etapele finale
- financiar
- First
- debit
- Pentru
- formă
- găsit
- din
- fond
- Fondurile
- câștig
- Oferirea
- plecat
- Grafic
- grup
- hackeri
- HAD
- Mai tare
- Avea
- ajută
- deținere
- HTTPS
- importurile
- in
- Inclusiv
- infam
- inițială
- iniţiat
- instalat
- instanță
- în
- implica
- implicând
- IT
- iterații
- ESTE
- jpg
- Cheie
- Kim
- Coreea
- Coreeană
- lansare
- Lazăr
- Grupul Lazarus
- lider
- cel mai puțin
- legitim
- limitativ
- încărcare
- local
- maşină
- MacOS
- Principal
- FACE
- malware
- multe
- derutant
- Lună
- cele mai multe
- motivat
- multiplu
- Numit
- nume
- reţea
- Nou
- North
- notat
- noiembrie
- Noiembrie 2021
- număr
- of
- în curs de desfășurare
- Altele
- afară
- direct
- cale
- oameni
- Platforme
- Plato
- Informații despre date Platon
- PlatoData
- sondaj
- posibilitate
- pregătirea
- anterior
- procese
- Programe
- public
- Piton
- tarife
- recent
- recent
- reduce
- regim
- legate de
- raportează
- Republică
- cercetători
- răspuns
- responsabil
- Alerga
- s
- Said
- escrocherii
- scenariu
- script-uri
- securitate
- Septembrie
- serie
- serverul
- Servicii
- set
- Seturi
- instalare
- întrucât
- SIX
- Social
- Inginerie sociala
- Software
- Spaniolă
- împărţi
- răspândire
- Etapă
- Stadiile
- Încă
- Strategic
- de succes
- astfel de
- a suferit
- Elvețian
- Ţintă
- vizate
- echipă
- tehnică
- tehnici de
- acea
- lumea
- furt
- lor
- Lor
- apoi
- ei
- acest
- amenințare
- Prin
- Prin urmare
- la
- a luat
- instrument
- Urmă
- urmări
- tradiţional
- Două
- UN
- neacoperit
- în
- fără precedent
- utilizare
- utilizat
- utilizatorii
- utilizări
- folosind
- diverse
- versiune
- Versiunile
- Victimă
- victime
- așteaptă
- a fost
- au fost
- care
- ferestre
- cu
- în
- lume
- zephyrnet
- Zip
