Вредоносное ПО «KandyKorn» для macOS привлекает криптоинженеров

Печально известная северокорейская группа постоянных угроз (APT) Лазарь разработала разновидность вредоносного ПО для macOS под названием «KandyKorn», которое использует для нападения на инженеров блокчейнов, связанных с биржами криптовалют.

В соответствии с отчет от Elastic Security LabsKandyKorn обладает полнофункциональным набором возможностей для обнаружения, доступа и кражи любых данных с компьютера жертвы, включая криптовалютные сервисы и приложения.

Чтобы реализовать это, Lazarus применил многоэтапный подход, включающий приложение Python, маскирующееся под бота для арбитража криптовалют (программный инструмент, способный получать прибыль от разницы в курсах криптовалют между платформами обмена криптовалютами). Приложение имело вводящие в заблуждение названия, в том числе «config.py» и «pricetable.py», и распространялось через общедоступный сервер Discord.

Затем группа использовала методы социальной инженерии, чтобы побудить своих жертв загрузить и разархивировать zip-архив в свою среду разработки, предположительно содержащий бота. На самом деле файл содержал предварительно созданное приложение Python с вредоносным кодом.

По словам экспертов Elastic Security, жертвы атаки полагали, что они установили арбитражного бота, но запуск приложения Python инициировал выполнение многоэтапного потока вредоносного ПО, кульминацией которого стало развертывание вредоносного инструмента KandyKorn.

Процедура заражения вредоносным ПО KandyKorn

Атака начинается с выполнения Main.py, который импортирует Watcher.py. Этот скрипт проверяет версию Python, настраивает локальные каталоги и извлекает два скрипта непосредственно с Google Диска: TestSpeed.py и FinderTools.

Эти сценарии используются для загрузки и выполнения запутанного двоичного файла под названием Sugarloader, отвечающего за предоставление первоначального доступа к машине и подготовку заключительных этапов вредоносного ПО, в которых также используется инструмент под названием Hloader.

Команда по угрозам смогла проследить весь путь распространения вредоносного ПО и пришла к выводу, что KandyKorn является завершающим этапом цепочки исполнения.

Затем процессы KandyKorn устанавливают связь с сервером хакеров, позволяя ему разветвляться и работать в фоновом режиме.

Вредоносная программа не опрашивает устройство и установленные приложения, а ожидает прямых команд от хакеров, согласно анализу, что уменьшает количество создаваемых конечных точек и сетевых артефактов, тем самым ограничивая возможность обнаружения.

Группа угроз также использовала отражающую двоичную загрузку в качестве метода запутывания, который помогает вредоносному ПО обходить большинство программ обнаружения.

«Злоумышленники обычно используют подобные методы обфускации, чтобы обойти традиционные возможности защиты от вредоносных программ на основе статических сигнатур», — отмечается в отчете.

Криптовалютные биржи под огнем

Криптовалютные биржи пострадали от серии атаки по краже закрытых ключей в 2023 году, большая часть которых приписывается группе Lazarus, которая использует свои нечестные доходы для финансирования северокорейского режима. ФБР недавно обнаружило, что группа имела перевел 1,580 биткойнов от многочисленных ограблений криптовалюты, храня средства на шести разных биткойн-адресах.

В сентябре злоумышленники были обнаружены ориентирован на 3D-моделистов и графических дизайнеров с вредоносными версиями законного установщика Windows в кампании по краже криптовалюты, которая продолжается как минимум с ноября 2021 года.

За месяц до этого исследователи обнаружили две связанные кампании по распространению вредоносного ПО, получившие название CherryBlos и FakeTrade, которые преследовали пользователей Android за кражу криптовалюты и другие финансовые мошенничества.

Растущая угроза со стороны ДПКР

Беспрецедентное сотрудничество различных APT в Корейской Народно-Демократической Республике (КНДР) затрудняет их отслеживание, создавая основу для агрессивных и сложных кибератак, которые требуют усилий стратегического реагирования, говорится в недавнем отчете Мандиант предупредил.

Например, у лидера страны Ким Чен Ына есть швейцарский армейский нож APT по имени Кимсуки, который продолжает распространять свои усики по всему миру, что указывает на то, что он не запуган исследователи приближаются. Кимсуки претерпел множество итераций и эволюций, в том числе прямой раскол на две подгруппы.

Тем временем группа Lazarus, похоже, добавила сложный и все еще развивающийся новый бэкдор в свой арсенал вредоносных программ, впервые обнаруженных в ходе успешной кибер-компрометации испанской аэрокосмической компании.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers