Den ökända nordkoreanska gruppen avancerade ihållande hot (APT). Lazarus har utvecklat en form av macOS skadlig kod som kallas "KandyKorn", som den använder för att rikta in sig på blockkedjeingenjörer som är anslutna till kryptovalutabörser.
Enligt en rapport från Elastic Security Labs, KandyKorn har en fullfjädrad uppsättning funktioner för att upptäcka, komma åt och stjäla all data från offrets dator, inklusive kryptovalutatjänster och applikationer.
För att leverera det tog Lazarus en flerstegsstrategi som involverade en Python-applikation som maskerade sig som en kryptovalutaarbitragebot (ett mjukvaruverktyg som kan dra nytta av skillnaden i kryptovalutakurser mellan kryptovalutautbytesplattformar). Appen innehöll vilseledande namn, inklusive "config.py" och "pricetable.py", och distribuerades via en offentlig Discord-server.
Gruppen använde sedan social ingenjörsteknik för att uppmuntra sina offer att ladda ner och packa upp ett zip-arkiv till sina utvecklingsmiljöer, som påstås innehålla boten. I själva verket innehöll filen en förbyggd Python-applikation med skadlig kod.
Offren för attacken trodde att de hade installerat en arbitrage-bot, men lanseringen av Python-applikationen initierade exekveringen av ett flerstegs skadlig programflöde som kulminerade med implementeringen av KandyKorns skadliga verktyg, sa Elastic Security-experter.
KandyKorn Malwares infektionsrutin
Attacken börjar med körningen av Main.py, som importerar Watcher.py. Det här skriptet kontrollerar Python-versionen, ställer in lokala kataloger och hämtar två skript direkt från Google Drive: TestSpeed.py och FinderTools.
Dessa skript används för att ladda ner och köra en obfuskerad binär som heter Sugarloader, ansvarig för att ge initial åtkomst till maskinen och förbereda de sista stadierna av skadlig programvara, som också involverar ett verktyg som heter Hloader.
Hotteamet kunde spåra hela distributionsvägen för skadlig programvara och drog slutsatsen att KandyKorn är det sista steget i avrättningskedjan.
KandyKorn-processer etablerar sedan kommunikation med hackarnas server, vilket gör att den kan förgrena sig och köras i bakgrunden.
Skadlig programvara pollar inte enheten och installerade applikationer utan väntar på direkta kommandon från hackarna, enligt analysen, vilket minskar antalet slutpunkter och nätverksartefakter som skapas, vilket begränsar möjligheten till upptäckt.
Hotgruppen använde också reflekterande binär laddning som en obfuskeringsteknik, vilket hjälper skadlig programvara att kringgå de flesta upptäcktsprogram.
"Fjädrar använder vanligtvis fördunklingstekniker som denna för att kringgå traditionella statiska signaturbaserade antimalware-funktioner," noterade rapporten.
Kryptovalutabörs under eld
Kryptovalutabörser har drabbats av en rad privata nyckelstöldattacker 2023, varav de flesta har tillskrivits Lazarus-gruppen, som använder sina illa anskaffade vinster för att finansiera den nordkoreanska regimen. FBI fann nyligen att gruppen hade flyttade 1,580 XNUMX bitcoins från flera kryptovaluta-rån, med pengarna i sex olika bitcoin-adresser.
I september upptäcktes angripare riktar sig till 3D-modellerare och grafiska formgivare med skadliga versioner av ett legitimt Windows-installationsverktyg i en kryptovaluta-tjuvkampanj som har pågått sedan åtminstone november 2021.
En månad tidigare upptäckte forskare två relaterade skadliga kampanjer, kallade CherryBlos och FakeTrade, som riktade sig mot Android-användare för stöld av kryptovalutor och andra ekonomiskt motiverade bedrägerier.
Växande hot från DPKR
Ett aldrig tidigare skådat samarbete mellan olika APT:er inom Demokratiska Folkrepubliken Korea (DPRK) gör dem svårare att spåra, vilket skapar förutsättningar för aggressiva, komplexa cyberattacker som kräver strategiska reaktionsinsatser, en färsk rapport från Mandiant varnade.
Till exempel har landets ledare, Kim Jong Un, en schweizisk armékniv APT som heter Kimsuky, som fortsätter att sprida sina rankor runt om i världen, vilket indikerar att den inte är skrämd av forskare närmar sig. Kimsuky har gått igenom många iterationer och evolutioner, inklusive en direkt uppdelning i två undergrupper.
Under tiden verkar Lazarus-gruppen ha lagt till en komplexa och fortfarande utvecklande ny bakdörr till sin malwarearsenal, först upptäckt i en framgångsrik cyberkompromiss av ett spanskt flygföretag.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers
- : har
- :är
- :inte
- $UPP
- 1
- 2021
- 3d
- 7
- a
- Able
- tillgång
- Enligt
- lagt till
- adresser
- avancerat
- Aerospace
- aggressiv
- tillåta
- också
- an
- analys
- och
- android
- vilken som helst
- app
- visas
- Ansökan
- tillämpningar
- tillvägagångssätt
- APT
- arbitrage
- arkiv
- ÄR
- Armé
- runt
- Arsenal
- AS
- At
- attackera
- Attacker
- bakgrund
- varit
- tros
- mellan
- Bitcoin
- blockchain
- Bot
- Branch
- men
- by
- kallas
- Kampanj
- Kampanjer
- kapacitet
- kapabel
- kedja
- Kontroller
- stängning
- koda
- samverkan
- vanligen
- Kommunikation
- företag
- komplex
- kompromiss
- dator
- slutsats
- anslutna
- innehöll
- fortsätter
- land
- skapas
- crypto
- kryptovaluta
- Cryptocurrency Exchange
- Cryptocurrency-utbyten
- kulminerade
- cyber
- cyberattack
- datum
- leverera
- Efterfrågan
- demokratiska
- utplacering
- upptäcka
- Detektering
- utvecklade
- Utveckling
- anordning
- Skillnaden
- olika
- rikta
- direkt
- kataloger
- oenighet
- upptäckt
- distribueras
- gör
- ladda ner
- Nordkorea
- ritning
- driv
- dubbade
- ansträngningar
- anställd
- uppmuntra
- Teknik
- Ingenjörer
- Hela
- miljöer
- etablera
- evolutioner
- utvecklas
- utbyta
- Utbyten
- exekvera
- utförande
- experter
- FBI
- skisserat
- Fil
- slutlig
- sista etappen
- ekonomiskt
- Förnamn
- flöda
- För
- formen
- hittade
- från
- fond
- fonder
- resultat
- Ge
- borta
- Grafisk
- Grupp
- hackare
- hade
- hårdare
- Har
- hjälper
- innehav
- HTTPS
- import
- in
- Inklusive
- ökänd
- inledande
- initieras
- installerad
- exempel
- in
- engagera
- involverar
- IT
- iterationer
- DESS
- jpg
- Nyckel
- kim
- korea
- koreanska
- lansera
- Lazarus
- Lazarusgruppen
- ledare
- t minst
- legitim
- begränsande
- läser in
- lokal
- Maskinen
- Mac OS
- Huvudsida
- GÖR
- malware
- många
- vilseledande
- Månad
- mest
- motiverad
- multipel
- Som heter
- namn
- nät
- Nya
- Nord
- noterade
- November
- november 2021
- antal
- of
- pågående
- Övriga
- ut
- rent ut
- bana
- Personer
- Plattformar
- plato
- Platon Data Intelligence
- PlatonData
- enkät
- Möjligheten
- förbereda
- Innan
- processer
- Program
- allmän
- Python
- rates
- senaste
- nyligen
- minskar
- regim
- relaterad
- rapport
- Republiken
- forskare
- respons
- ansvarig
- Körning
- s
- Nämnda
- bedrägerier
- skript
- skript
- säkerhet
- September
- Serier
- server
- Tjänster
- in
- uppsättningar
- inställning
- eftersom
- SEX
- Social hållbarhet
- Samhällsteknik
- Mjukvara
- spanska
- delas
- spridning
- Etapp
- stadier
- Fortfarande
- Strategisk
- framgångsrik
- sådana
- lidit
- Schweiziska
- Målet
- riktade
- grupp
- Tekniken
- tekniker
- den där
- Smakämnen
- världen
- stöld
- deras
- Dem
- sedan
- de
- detta
- hot
- Genom
- Således
- till
- tog
- verktyg
- Trace
- spår
- traditionell
- två
- UN
- avtäckt
- under
- utan motstycke
- användning
- Begagnade
- användare
- användningar
- med hjälp av
- olika
- version
- versioner
- Victim
- offer
- väntar
- var
- były
- som
- fönster
- med
- inom
- världen
- zephyrnet
- Postnummer
