กลุ่มภัยคุกคามขั้นสูงแบบถาวร (APT) ของเกาหลีเหนือที่น่าอับอาย ลาซารัส ได้พัฒนารูปแบบของมัลแวร์ macOS ที่เรียกว่า “KandyKorn” ซึ่งใช้เพื่อกำหนดเป้าหมายวิศวกรบล็อคเชนที่เชื่อมต่อกับการแลกเปลี่ยนสกุลเงินดิจิทัล
ตาม รายงานจาก Elastic Security LabsKandyKorn มีชุดความสามารถเต็มรูปแบบในการตรวจจับ เข้าถึง และขโมยข้อมูลใด ๆ จากคอมพิวเตอร์ของเหยื่อ รวมถึงบริการและแอปพลิเคชันสกุลเงินดิจิทัล
เพื่อส่งมอบ Lazarus ใช้แนวทางหลายขั้นตอนที่เกี่ยวข้องกับแอปพลิเคชัน Python ที่ปลอมตัวเป็นบอตการเก็งกำไรสกุลเงินดิจิทัล (เครื่องมือซอฟต์แวร์ที่สามารถทำกำไรจากความแตกต่างของอัตราสกุลเงินดิจิทัลระหว่างแพลตฟอร์มแลกเปลี่ยนสกุลเงินดิจิทัล) แอปนี้มีชื่อที่ทำให้เข้าใจผิด รวมถึง “config.py” และ “pricetable.py” และเผยแพร่ผ่านเซิร์ฟเวอร์ Discord สาธารณะ
จากนั้นกลุ่มก็ใช้เทคนิควิศวกรรมสังคมเพื่อสนับสนุนให้เหยื่อดาวน์โหลดและแตกไฟล์ zip ลงในสภาพแวดล้อมการพัฒนาของตน โดยอ้างว่ามีบอทอยู่ ในความเป็นจริง ไฟล์ดังกล่าวมีแอปพลิเคชัน Python ที่สร้างไว้ล่วงหน้าซึ่งมีโค้ดที่เป็นอันตราย
ผู้ที่ตกเป็นเหยื่อของการโจมตีเชื่อว่าพวกเขาได้ติดตั้งบอตการเก็งกำไร แต่การเปิดตัวแอปพลิเคชัน Python ได้เริ่มต้นการดำเนินการของกระแสมัลแวร์หลายขั้นตอนซึ่งปิดท้ายด้วยการปรับใช้เครื่องมือที่เป็นอันตราย KandyKorn ผู้เชี่ยวชาญด้าน Elastic Security กล่าว
กิจวัตรการติดเชื้อของ KandyKorn Malware
การโจมตีเริ่มต้นด้วยการดำเนินการของ Main.py ซึ่งนำเข้า Watcher.py สคริปต์นี้จะตรวจสอบเวอร์ชัน Python ตั้งค่าไดเร็กทอรีในเครื่อง และดึงสคริปต์สองตัวจาก Google Drive โดยตรง: TestSpeed.py และ FinderTools
สคริปต์เหล่านี้ใช้เพื่อดาวน์โหลดและเรียกใช้ไบนารี่ที่ซับซ้อนที่เรียกว่า Sugarloader ซึ่งมีหน้าที่ในการให้สิทธิ์เข้าถึงเครื่องครั้งแรกและเตรียมขั้นตอนสุดท้ายของมัลแวร์ ซึ่งเกี่ยวข้องกับเครื่องมือที่เรียกว่า Hloader ด้วย
ทีมภัยคุกคามสามารถติดตามเส้นทางการติดตั้งมัลแวร์ทั้งหมดได้ โดยสรุปว่า KandyKorn เป็นขั้นตอนสุดท้ายของห่วงโซ่การดำเนินการ
จากนั้นกระบวนการ KandyKorn จะสร้างการสื่อสารกับเซิร์ฟเวอร์ของแฮกเกอร์ เพื่อให้สามารถแยกสาขาและทำงานในเบื้องหลังได้
มัลแวร์ไม่ได้สำรวจอุปกรณ์และแอพพลิเคชั่นที่ติดตั้ง แต่รอคำสั่งโดยตรงจากแฮกเกอร์ ตามการวิเคราะห์ ซึ่งจะช่วยลดจำนวนจุดสิ้นสุดและสิ่งประดิษฐ์เครือข่ายที่สร้างขึ้น ซึ่งจำกัดความเป็นไปได้ในการตรวจจับ
กลุ่มภัยคุกคามยังใช้การโหลดไบนารีแบบสะท้อนแสงเป็นเทคนิคการทำให้งงงวย ซึ่งช่วยให้มัลแวร์ข้ามโปรแกรมตรวจจับส่วนใหญ่ได้
“ฝ่ายตรงข้ามมักใช้เทคนิคการทำให้งงงวยเช่นนี้เพื่อหลีกเลี่ยงความสามารถต่อต้านมัลแวร์ที่ใช้ลายเซ็นแบบคงที่แบบดั้งเดิม” รายงานระบุ
การแลกเปลี่ยน Cryptocurrency ภายใต้ไฟ
การแลกเปลี่ยน Cryptocurrency ได้รับความเดือดร้อนหลายครั้ง การโจมตีด้วยการโจรกรรมคีย์ส่วนตัวในปี 2023ซึ่งส่วนใหญ่มาจากกลุ่มลาซารัสซึ่งใช้ผลกำไรที่ได้มาอย่างไม่สมควรเพื่อสนับสนุนระบอบการปกครองของเกาหลีเหนือ ล่าสุดเอฟบีไอพบว่ากลุ่มดังกล่าวมี ย้าย 1,580 bitcoins จากการปล้นสกุลเงินดิจิทัลหลายครั้ง โดยถือเงินไว้ในที่อยู่ Bitcoin ที่แตกต่างกันหกแห่ง
ในเดือนกันยายน มีการค้นพบผู้โจมตี กำหนดเป้าหมายผู้สร้างโมเดล 3 มิติและนักออกแบบกราฟิก ด้วยเครื่องมือติดตั้ง Windows ที่ถูกต้องตามกฎหมายในเวอร์ชันที่เป็นอันตรายในแคมเปญขโมยสกุลเงินดิจิทัลที่ดำเนินมาอย่างต่อเนื่องตั้งแต่อย่างน้อยเดือนพฤศจิกายน 2021
หนึ่งเดือนก่อน นักวิจัยได้ค้นพบแคมเปญมัลแวร์ที่เกี่ยวข้องสองรายการซึ่งมีชื่อว่า CherryBlos และ FakeTrade ซึ่งกำหนดเป้าหมายผู้ใช้ Android ฐานโจรกรรมสกุลเงินดิจิตอลและการหลอกลวงทางการเงินอื่นๆ
ภัยคุกคามที่เพิ่มขึ้นจาก DPKR
ความร่วมมือที่ไม่เคยมีมาก่อนโดย APT ต่างๆ ภายในสาธารณรัฐประชาธิปไตยประชาชนเกาหลี (DPRK) ทำให้ยากต่อการติดตาม ทำให้เกิดการโจมตีทางไซเบอร์เชิงรุกและซับซ้อนซึ่งต้องการความพยายามตอบสนองเชิงกลยุทธ์ รายงานล่าสุดจาก แมนเดียนท์เตือนแล้ว.
ตัวอย่างเช่น ผู้นำของประเทศ คิม จอง อึน มีมีด APT ของกองทัพสวิสชื่อ Kimsuky ซึ่งยังคงแพร่กระจายไม้เลื้อยไปทั่วโลก บ่งชี้ว่าไม่ได้ถูกข่มขู่จาก นักวิจัยกำลังปิดตัวลง. Kimsuky ได้ผ่านการทำซ้ำและวิวัฒนาการมากมาย รวมถึง แยกออกเป็นสองกลุ่มย่อยโดยสิ้นเชิง.
ในขณะเดียวกันกลุ่มลาซารัสก็ดูเหมือนจะได้เพิ่มก ซับซ้อนและยังคงมีการพัฒนาแบ็คดอร์ใหม่ ไปยังคลังแสงมัลแวร์ ซึ่งพบเห็นครั้งแรกในการประนีประนอมทางไซเบอร์ที่ประสบความสำเร็จของบริษัทการบินและอวกาศของสเปน
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers
- :มี
- :เป็น
- :ไม่
- $ ขึ้น
- 1
- 2021
- 3d
- 7
- a
- สามารถ
- เข้า
- ตาม
- ที่เพิ่ม
- ที่อยู่
- สูง
- การบินและอวกาศ
- ก้าวร้าว
- การอนุญาต
- ด้วย
- an
- การวิเคราะห์
- และ
- หุ่นยนต์
- ใด
- app
- ปรากฏ
- การใช้งาน
- การใช้งาน
- เข้าใกล้
- APT
- อนุญาโตตุลาการ
- เอกสารเก่า
- เป็น
- กองทัพบก
- รอบ
- คลังแสง
- AS
- At
- โจมตี
- การโจมตี
- พื้นหลัง
- รับ
- เชื่อว่า
- ระหว่าง
- Bitcoin
- blockchain
- ธ ปท
- สาขา
- แต่
- by
- ที่เรียกว่า
- รณรงค์
- แคมเปญ
- ความสามารถในการ
- สามารถ
- โซ่
- การตรวจสอบ
- ปิด
- รหัส
- การทำงานร่วมกัน
- อย่างธรรมดา
- การสื่อสาร
- บริษัท
- ซับซ้อน
- การประนีประนอม
- คอมพิวเตอร์
- ข้อสรุป
- งานที่เชื่อมต่อ
- ที่มีอยู่
- อย่างต่อเนื่อง
- ประเทศ
- ที่สร้างขึ้น
- การเข้ารหัสลับ
- cryptocurrency
- การแลกเปลี่ยน Cryptocurrency
- การแลกเปลี่ยน Cryptocurrency
- สุดยอด
- ไซเบอร์
- cyberattacks
- ข้อมูล
- ส่งมอบ
- ความต้องการ
- ประชาธิปัตย์
- การใช้งาน
- ตรวจจับ
- การตรวจพบ
- พัฒนา
- พัฒนาการ
- เครื่อง
- ความแตกต่าง
- ต่าง
- โดยตรง
- โดยตรง
- ไดเรกทอรี
- บาดหมางกัน
- ค้นพบ
- กระจาย
- ทำ
- ดาวน์โหลด
- เกาหลีเหนือ
- การวาดภาพ
- ขับรถ
- ขนานนามว่า
- ความพยายาม
- การจ้างงาน
- ส่งเสริม
- ชั้นเยี่ยม
- วิศวกร
- ทั้งหมด
- สภาพแวดล้อม
- สร้าง
- วิวัฒนาการ
- การพัฒนา
- ตลาดแลกเปลี่ยน
- แลกเปลี่ยน
- ดำเนินการ
- การปฏิบัติ
- ผู้เชี่ยวชาญ
- เอฟบีไอ
- ที่โดดเด่น
- เนื้อไม่มีมัน
- สุดท้าย
- ขั้นตอนสุดท้าย
- ให้เงิน
- ชื่อจริง
- ไหล
- สำหรับ
- ฟอร์ม
- พบ
- ราคาเริ่มต้นที่
- กองทุน
- เงิน
- กําไร
- ให้
- ไป
- กราฟฟิค
- บัญชีกลุ่ม
- แฮกเกอร์
- มี
- ยาก
- มี
- จะช่วยให้
- โฮลดิ้ง
- HTTPS
- การนำเข้า
- in
- รวมทั้ง
- น่าอับอาย
- แรกเริ่ม
- ที่ริเริ่ม
- การติดตั้ง
- ตัวอย่าง
- เข้าไป
- รวมถึง
- ที่เกี่ยวข้องกับ
- IT
- ซ้ำ
- ITS
- jpg
- คีย์
- คิม
- เกาหลี
- เกาหลี
- การเปิดตัว
- ลาซารัส
- กลุ่ม Lazarus
- ผู้นำ
- น้อยที่สุด
- ถูกกฎหมาย
- การ จำกัด
- โหลด
- ในประเทศ
- เครื่อง
- MacOS
- หลัก
- ทำให้
- มัลแวร์
- หลาย
- หลอกตา
- เดือน
- มากที่สุด
- แรงบันดาลใจ
- หลาย
- ที่มีชื่อ
- ชื่อ
- เครือข่าย
- ใหม่
- ทางทิศเหนือ
- เด่น
- พฤศจิกายน
- พฤศจิกายน 2021
- จำนวน
- of
- ต่อเนื่อง
- อื่นๆ
- ออก
- ทันที
- เส้นทาง
- คน
- แพลตฟอร์ม
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- มา
- ความเป็นไปได้
- การเตรียมความพร้อม
- ก่อน
- กระบวนการ
- โปรแกรม
- สาธารณะ
- หลาม
- ราคา
- เมื่อเร็ว ๆ นี้
- เมื่อเร็ว ๆ นี้
- ลด
- ระบบการปกครอง
- ที่เกี่ยวข้อง
- รายงาน
- สาธารณรัฐ
- นักวิจัย
- คำตอบ
- รับผิดชอบ
- วิ่ง
- s
- กล่าวว่า
- หลอกลวง
- ต้นฉบับ
- สคริปต์
- ความปลอดภัย
- กันยายน
- ชุด
- เซิร์ฟเวอร์
- บริการ
- ชุด
- ชุดอุปกรณ์
- การตั้งค่า
- ตั้งแต่
- หก
- สังคม
- วิศวกรรมทางสังคม
- ซอฟต์แวร์
- สเปน
- แยก
- กระจาย
- ระยะ
- ขั้นตอน
- ยังคง
- ยุทธศาสตร์
- ที่ประสบความสำเร็จ
- อย่างเช่น
- ได้รับความเดือดร้อน
- สวิสเซอร์แลนด์
- เป้า
- เป้าหมาย
- ทีม
- เทคนิค
- เทคนิค
- ที่
- พื้นที่
- โลก
- การโจรกรรม
- ของพวกเขา
- พวกเขา
- แล้วก็
- พวกเขา
- นี้
- การคุกคาม
- ตลอด
- ดังนั้น
- ไปยัง
- เอา
- เครื่องมือ
- ติดตาม
- ลู่
- แบบดั้งเดิม
- สอง
- UN
- เปิด
- ภายใต้
- เป็นประวัติการณ์
- ใช้
- มือสอง
- ผู้ใช้
- ใช้
- การใช้
- ต่างๆ
- รุ่น
- รุ่น
- เหยื่อ
- ผู้ที่ตกเป็นเหยื่อ
- รอ
- คือ
- คือ
- ที่
- หน้าต่าง
- กับ
- ภายใน
- โลก
- ลมทะเล
- รหัสไปรษณีย์
