Печально известная северокорейская группа постоянных угроз (APT) Лазарь разработала разновидность вредоносного ПО для macOS под названием «KandyKorn», которое использует для нападения на инженеров блокчейнов, связанных с биржами криптовалют.
В соответствии с отчет от Elastic Security LabsKandyKorn обладает полнофункциональным набором возможностей для обнаружения, доступа и кражи любых данных с компьютера жертвы, включая криптовалютные сервисы и приложения.
Чтобы реализовать это, Lazarus применил многоэтапный подход, включающий приложение Python, маскирующееся под бота для арбитража криптовалют (программный инструмент, способный получать прибыль от разницы в курсах криптовалют между платформами обмена криптовалютами). Приложение имело вводящие в заблуждение названия, в том числе «config.py» и «pricetable.py», и распространялось через общедоступный сервер Discord.
Затем группа использовала методы социальной инженерии, чтобы побудить своих жертв загрузить и разархивировать zip-архив в свою среду разработки, предположительно содержащий бота. На самом деле файл содержал предварительно созданное приложение Python с вредоносным кодом.
По словам экспертов Elastic Security, жертвы атаки полагали, что они установили арбитражного бота, но запуск приложения Python инициировал выполнение многоэтапного потока вредоносного ПО, кульминацией которого стало развертывание вредоносного инструмента KandyKorn.
Процедура заражения вредоносным ПО KandyKorn
Атака начинается с выполнения Main.py, который импортирует Watcher.py. Этот скрипт проверяет версию Python, настраивает локальные каталоги и извлекает два скрипта непосредственно с Google Диска: TestSpeed.py и FinderTools.
Эти сценарии используются для загрузки и выполнения запутанного двоичного файла под названием Sugarloader, отвечающего за предоставление первоначального доступа к машине и подготовку заключительных этапов вредоносного ПО, в которых также используется инструмент под названием Hloader.
Команда по угрозам смогла проследить весь путь распространения вредоносного ПО и пришла к выводу, что KandyKorn является завершающим этапом цепочки исполнения.
Затем процессы KandyKorn устанавливают связь с сервером хакеров, позволяя ему разветвляться и работать в фоновом режиме.
Вредоносная программа не опрашивает устройство и установленные приложения, а ожидает прямых команд от хакеров, согласно анализу, что уменьшает количество создаваемых конечных точек и сетевых артефактов, тем самым ограничивая возможность обнаружения.
Группа угроз также использовала отражающую двоичную загрузку в качестве метода запутывания, который помогает вредоносному ПО обходить большинство программ обнаружения.
«Злоумышленники обычно используют подобные методы обфускации, чтобы обойти традиционные возможности защиты от вредоносных программ на основе статических сигнатур», — отмечается в отчете.
Криптовалютные биржи под огнем
Криптовалютные биржи пострадали от серии атаки по краже закрытых ключей в 2023 году, большая часть которых приписывается группе Lazarus, которая использует свои нечестные доходы для финансирования северокорейского режима. ФБР недавно обнаружило, что группа имела перевел 1,580 биткойнов от многочисленных ограблений криптовалюты, храня средства на шести разных биткойн-адресах.
В сентябре злоумышленники были обнаружены ориентирован на 3D-моделистов и графических дизайнеров с вредоносными версиями законного установщика Windows в кампании по краже криптовалюты, которая продолжается как минимум с ноября 2021 года.
За месяц до этого исследователи обнаружили две связанные кампании по распространению вредоносного ПО, получившие название CherryBlos и FakeTrade, которые преследовали пользователей Android за кражу криптовалюты и другие финансовые мошенничества.
Растущая угроза со стороны ДПКР
Беспрецедентное сотрудничество различных APT в Корейской Народно-Демократической Республике (КНДР) затрудняет их отслеживание, создавая основу для агрессивных и сложных кибератак, которые требуют усилий стратегического реагирования, говорится в недавнем отчете Мандиант предупредил.
Например, у лидера страны Ким Чен Ына есть швейцарский армейский нож APT по имени Кимсуки, который продолжает распространять свои усики по всему миру, что указывает на то, что он не запуган исследователи приближаются. Кимсуки претерпел множество итераций и эволюций, в том числе прямой раскол на две подгруппы.
Тем временем группа Lazarus, похоже, добавила сложный и все еще развивающийся новый бэкдор в свой арсенал вредоносных программ, впервые обнаруженных в ходе успешной кибер-компрометации испанской аэрокосмической компании.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers
- :имеет
- :является
- :нет
- $UP
- 1
- 2021
- 3d
- 7
- a
- в состоянии
- доступ
- По
- добавленный
- адреса
- продвинутый
- Аэрокосмическая индустрия
- агрессивный
- Позволяющий
- причислены
- an
- анализ
- и
- android
- любой
- приложение
- появляется
- Применение
- Приложения
- подхода
- APT
- арбитраж
- архив
- МЫ
- армия
- около
- Арсенал
- AS
- At
- атаковать
- нападки
- фон
- было
- распространенной
- между
- Bitcoin
- блокчейн
- Бот
- Филиал
- но
- by
- под названием
- Кампания
- Кампании
- возможности
- способный
- цепь
- Проверки
- закрытие
- код
- сотрудничество
- обычно
- Связь
- Компания
- комплекс
- скомпрометированы
- компьютер
- заключение
- подключенный
- содержащегося
- продолжается
- страна
- создали
- крипто-
- криптовалюта
- Cryptocurrency Exchange
- Cryptocurrency Exchanges
- кульминационным
- кибер-
- кибератаки
- данным
- доставить
- Спрос
- демократический
- развертывание
- обнаруживать
- обнаружение
- развитый
- Развитие
- устройство
- разница
- различный
- направлять
- непосредственно
- каталоги
- раздор
- открытый
- распределенный
- приносит
- скачать
- КНДР
- рисование
- управлять
- дублированный
- усилия
- занятых
- поощрять
- Проект и
- Инженеры
- Весь
- средах
- установить
- эволюций
- развивается
- обмена
- Биржи
- выполнять
- выполнение
- эксперты
- ФБР
- СПЕЦЦЕНА
- Файл
- окончательный
- заключительные этапы
- в финансовом отношении
- Во-первых,
- поток
- Что касается
- форма
- найденный
- от
- фонд
- средства
- Доходы
- Отдаете
- ушел
- графический
- группы
- Хакеры
- было
- Сильнее
- Есть
- помогает
- проведение
- HTTPS
- импорт
- in
- В том числе
- позорный
- начальный
- начатый
- установлен
- пример
- в
- включать в себя
- с участием
- IT
- итерации
- ЕГО
- JPG
- Основные
- Ким
- Корея
- Корейский
- запуск
- Лазарь
- Лазарь Групп
- лидер
- наименее
- законный
- ограничивающий
- погрузка
- локальным
- машина
- MacOS
- Главная
- ДЕЛАЕТ
- вредоносных программ
- многих
- дезориентировать
- Месяц
- самых
- мотивированные
- с разными
- Названный
- имена
- сеть
- Новые
- север
- отметил,
- Ноябрь
- Ноябрь 2021
- номер
- of
- постоянный
- Другое
- внешний
- прямой
- путь
- Люди
- Платформы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- голосование
- возможность
- подготовка
- Предварительный
- Процессы
- Программы
- что такое варган?
- Питон
- Стоимость
- последний
- недавно
- снижает
- режим
- Связанный
- отчету
- Республика
- исследователи
- ответ
- ответственный
- Run
- s
- Сказал
- мошенничество
- скрипт
- скрипты
- безопасность
- сентябрь
- Серии
- сервер
- Услуги
- набор
- Наборы
- установка
- с
- ШЕСТЬ
- Соцсети
- Социальная инженерия
- Software
- Испанский
- раскол
- распространение
- Этап
- этапы
- По-прежнему
- Стратегический
- успешный
- такие
- пострадали
- швейцарский
- цель
- целевое
- команда
- техника
- снижения вреда
- который
- Ассоциация
- мир
- кража
- их
- Их
- тогда
- они
- этой
- угроза
- Через
- Таким образом
- в
- приняли
- инструментом
- Прослеживать
- трек
- традиционный
- два
- UN
- непокрытый
- под
- беспрецедентный
- использование
- используемый
- пользователей
- использования
- через
- различный
- версия
- версии
- Жертва
- жертвы
- ждет
- законопроект
- были
- , которые
- окна
- в
- Мир
- зефирнет
- ZIP