Zloglasna severnokorejska skupina za napredno vztrajno grožnjo (APT). Lazarus je razvil obliko zlonamerne programske opreme macOS, imenovano "KandyKorn", ki jo uporablja za ciljanje na inženirje blockchain, povezane z menjalnicami kriptovalut.
Glede na poročilo Elastic Security Labs, KandyKorn ima popoln nabor zmogljivosti za odkrivanje, dostop in krajo kakršnih koli podatkov iz računalnika žrtve, vključno s storitvami in aplikacijami za kriptovalute.
Da bi ga zagotovil, je Lazarus uporabil večstopenjski pristop, ki je vključeval aplikacijo Python, ki se je maskirala kot bot za arbitražo kriptovalut (programsko orodje, ki je sposobno izkoristiti razlike v tečajih kriptovalut med platformami za izmenjavo kriptovalut). Aplikacija je vsebovala zavajajoča imena, vključno z »config.py« in »pricetable.py«, in je bila distribuirana prek javnega strežnika Discord.
Skupina je nato uporabila tehnike socialnega inženiringa, da bi svoje žrtve spodbudila k prenosu in razpakiranju arhiva zip v svoja razvojna okolja, ki naj bi vseboval bota. V resnici je datoteka vsebovala vnaprej izdelano aplikacijo Python z zlonamerno kodo.
Žrtve napada so verjele, da so namestile arbitražni bot, vendar je zagon aplikacije Python sprožil izvedbo večstopenjskega toka zlonamerne programske opreme, ki je dosegel vrhunec z uvedbo zlonamernega orodja KandyKorn, so povedali strokovnjaki Elastic Security.
Rutina okužbe z zlonamerno programsko opremo KandyKorn
Napad se začne z izvedbo Main.py, ki uvozi Watcher.py. Ta skript preveri različico Python, nastavi lokalne imenike in pridobi dva skripta neposredno iz Google Drive: TestSpeed.py in FinderTools.
Ti skripti se uporabljajo za prenos in izvajanje zamegljene binarne datoteke, imenovane Sugarloader, ki je odgovorna za začetni dostop do stroja in pripravo končnih stopenj zlonamerne programske opreme, ki vključuje tudi orodje, imenovano Hloader.
Ekipa za grožnje je lahko izsledila celotno pot uvajanja zlonamerne programske opreme in prišla do zaključka, da je KandyKorn zadnja stopnja izvedbene verige.
Procesi KandyKorn nato vzpostavijo komunikacijo s strežnikom hekerjev, kar mu omogoči razvejanje in delovanje v ozadju.
V skladu z analizo zlonamerna programska oprema ne preverja naprave in nameščenih aplikacij, temveč čaka na neposredne ukaze hekerjev, kar zmanjša število ustvarjenih končnih točk in omrežnih artefaktov ter tako omeji možnost odkrivanja.
Skupina za grožnje je uporabila tudi odsevno binarno nalaganje kot tehniko zamegljevanja, ki zlonamerni programski opremi pomaga obiti večino programov za odkrivanje.
"Nasprotniki običajno uporabljajo tehnike zamegljevanja, kot je ta, da zaobidejo tradicionalne zmogljivosti proti zlonamerni programski opremi, ki temeljijo na statičnem podpisu," je zapisano v poročilu.
Borze kriptovalut pod ognjem
Menjalnice kriptovalut so utrpele vrsto napadi s krajo zasebnega ključa leta 2023, večina jih je bila pripisana skupini Lazarus, ki uporablja svoje nezakonito pridobljene dobičke za financiranje severnokorejskega režima. FBI je nedavno ugotovil, da je skupina imela premaknil 1,580 bitcoinov iz več ropov kriptovalut, pri čemer imajo sredstva na šestih različnih naslovih bitcoin.
Septembra so napadalce odkrili namenjen oblikovalcem 3D modelov in grafičnih oblikovalcev z zlonamernimi različicami zakonitega namestitvenega orodja za Windows v kampanji kraje kriptovalut, ki traja vsaj od novembra 2021.
Mesec dni pred tem so raziskovalci odkrili dve povezani kampanji zlonamerne programske opreme, imenovani CherryBlos in FakeTrade, ki je ciljala na uporabnike Androida zaradi kraje kriptovalut in drugih finančno motiviranih prevar.
Vse večja grožnja iz DPKR
Sodelovanje brez primere med različnimi APT-ji v Demokratični ljudski republiki Koreji (DPRK) otežuje sledenje, s čimer se pripravi teren za agresivne, zapletene kibernetske napade, ki zahtevajo strateško odzivanje, je nedavno poročilo iz Mandiant je opozoril.
Na primer, voditelj države, Kim Jong Un, ima švicarski nož APT z imenom Kimsuky, ki še naprej širi svoje vitice po vsem svetu, kar kaže, da se ne ustraši raziskovalci se približujejo. Kimsuky je šel skozi številne ponovitve in razvoj, vključno z dokončna razdelitev na dve podskupini.
Medtem se zdi, da je skupina Lazarus dodala a zapletena nova stranska vrata, ki se še vedno razvijajo svojemu arzenalu zlonamerne programske opreme, ki je bila prvič opažena pri uspešnem kibernetskem kompromisu španskega letalskega podjetja.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers
- :ima
- : je
- :ne
- $GOR
- 1
- 2021
- 3d
- 7
- a
- Sposobna
- dostop
- Po
- dodano
- naslovi
- napredno
- Aerospace
- agresivni
- Dovoli
- Prav tako
- an
- Analiza
- in
- Android
- kaj
- aplikacija
- se prikaže
- uporaba
- aplikacije
- pristop
- APT
- arbitražo
- Arhiv
- SE
- Army
- okoli
- Arsenal
- AS
- At
- napad
- Napadi
- ozadje
- bilo
- Menimo
- med
- Bitcoin
- blockchain
- Bot
- Branch
- vendar
- by
- se imenuje
- Akcija
- Kampanje
- Zmogljivosti
- lahko
- verige
- Pregledi
- zapiranje
- Koda
- sodelovanje
- pogosto
- Komunikacija
- podjetje
- kompleksna
- Kompromis
- računalnik
- Sklenitev
- povezane
- vseboval
- se nadaljuje
- država
- ustvaril
- kripto
- cryptocurrency
- Zamenjava kripto valute
- Izmenjave kripto valut
- vrhunec
- cyber
- kibernetski napadi
- datum
- poda
- Povpraševanje
- demokratična
- uvajanje
- odkrivanje
- Odkrivanje
- razvili
- Razvoj
- naprava
- Razlika
- drugačen
- neposredna
- neposredno
- imeniki
- neskladje
- odkril
- porazdeljena
- ne
- prenesi
- dprk
- risanje
- pogon
- poimenovan
- prizadevanja
- zaposleni
- spodbujanje
- Inženiring
- Inženirji
- Celotna
- okolja
- vzpostaviti
- evolucije
- razvija
- Izmenjava
- Izmenjave
- izvršiti
- izvedba
- Strokovnjaki
- FBI
- izrazit
- file
- končna
- zaključne faze
- finančno
- prva
- Pretok
- za
- obrazec
- je pokazala,
- iz
- Sklad
- Skladi
- zaslužek
- Giving
- več
- Grafično
- skupina
- hekerji
- imel
- težje
- Imajo
- Pomaga
- gospodarstvo
- HTTPS
- uvoz
- in
- Vključno
- zloglasni
- začetna
- začeti
- nameščen
- primer
- v
- vključujejo
- vključujejo
- IT
- ponovitve
- ITS
- jpg
- Ključne
- Kim
- korea
- Korejski
- začetek
- Lazarus
- Skupina Lazarus
- Vodja
- vsaj
- legitimno
- omejujoč
- nalaganje
- lokalna
- stroj
- MacOS
- Glavne
- IZDELA
- zlonamerna programska oprema
- več
- zavajajoče
- mesec
- Najbolj
- motivirani
- več
- Imenovan
- Imena
- mreža
- Novo
- sever
- opozoriti
- november
- november 2021
- Številka
- of
- v teku
- Ostalo
- ven
- naravnost
- pot
- ljudje
- Platforme
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Anketa
- možnost
- priprava
- Predhodna
- Procesi
- programi
- javnega
- Python
- Cene
- nedavno
- Pred kratkim
- zmanjšuje
- Režim
- povezane
- poročilo
- Republika
- raziskovalci
- Odgovor
- odgovorna
- Run
- s
- Je dejal
- prevare
- script
- skripte
- varnost
- september
- Serija
- strežnik
- Storitve
- nastavite
- Kompleti
- nastavitev
- saj
- SIX
- socialna
- Socialni inženiring
- Software
- španski
- po delih
- namaz
- Stage
- postopka
- Še vedno
- Strateško
- uspešno
- taka
- trpel
- Švicarski
- ciljna
- ciljno
- skupina
- tehnika
- tehnike
- da
- O
- svet
- Kraja
- njihove
- Njih
- POTEM
- jih
- ta
- Grožnja
- skozi
- Tako
- do
- vzel
- orodje
- Trace
- sledenje
- tradicionalna
- dva
- UN
- nepokrite
- pod
- brez primere
- uporaba
- Rabljeni
- Uporabniki
- uporablja
- uporabo
- različnih
- različica
- različice
- Žrtva
- žrtve
- čaka
- je
- so bili
- ki
- okna
- z
- v
- svet
- zefirnet
- Zip
