Ünlü Kuzey Koreli gelişmiş kalıcı tehdit (APT) grubu Lazarus kripto para borsalarına bağlı blockchain mühendislerini hedeflemek için kullandığı "KandyKorn" adlı bir macOS kötü amaçlı yazılım biçimi geliştirdi.
Bir göre Elastic Security Labs'ın raporuKandyKorn, kripto para birimi hizmetleri ve uygulamaları da dahil olmak üzere kurbanın bilgisayarındaki her türlü veriyi tespit etmek, erişmek ve çalmak için tam özellikli yeteneklere sahiptir.
Bunu gerçekleştirmek için Lazarus, kripto para arbitraj botu (kripto para birimi değişim platformları arasındaki kripto para oranlarındaki farktan kâr elde edebilen bir yazılım aracı) kılığına giren bir Python uygulamasını içeren çok aşamalı bir yaklaşımı benimsedi. Uygulama, "config.py" ve "pricetable.py" gibi yanıltıcı adlar içeriyordu ve herkese açık bir Discord sunucusu aracılığıyla dağıtılıyordu.
Grup daha sonra kurbanlarını, botu içerdiği iddia edilen bir zip arşivini indirip geliştirme ortamlarına açmaya teşvik etmek için sosyal mühendislik tekniklerini kullandı. Gerçekte dosya, kötü amaçlı kod içeren önceden oluşturulmuş bir Python uygulaması içeriyordu.
Elastic Security uzmanları, saldırının kurbanlarının bir arbitraj botu yüklediklerine inandıklarını ancak Python uygulamasının başlatılmasının, KandyKorn kötü amaçlı aracının konuşlandırılmasıyla sonuçlanan çok adımlı bir kötü amaçlı yazılım akışının yürütülmesini başlattığını söyledi.
KandyKorn Kötü Amaçlı Yazılımının Bulaşma Rutini
Saldırı, Watcher.py'yi içe aktaran Main.py'nin yürütülmesiyle başlar. Bu komut dosyası Python sürümünü kontrol eder, yerel dizinleri ayarlar ve iki komut dosyasını doğrudan Google Drive'dan alır: TestSpeed.py ve FinderTools.
Bu komut dosyaları, makineye ilk erişimi vermekten ve kötü amaçlı yazılımın son aşamalarını hazırlamaktan sorumlu olan ve Hloader adı verilen bir aracı da içeren, Sugarloader adı verilen karmaşık bir ikili dosyayı indirmek ve yürütmek için kullanılır.
Tehdit ekibi, kötü amaçlı yazılım dağıtım yolunun tamamını izlemeyi başardı ve KandyKorn'un yürütme zincirinin son aşaması olduğu sonucuna vardı.
KandyKorn işlemleri daha sonra bilgisayar korsanlarının sunucusuyla iletişim kurarak sunucunun dallanıp arka planda çalışmasına olanak tanıyor.
Analize göre kötü amaçlı yazılım, cihazı ve yüklü uygulamaları yoklamıyor ancak bilgisayar korsanlarından doğrudan komutlar bekliyor; bu da oluşturulan uç noktaların ve ağ yapıtlarının sayısını azaltarak tespit olasılığını sınırlıyor.
Tehdit grubu ayrıca, kötü amaçlı yazılımın çoğu algılama programını atlamasına yardımcı olan bir gizleme tekniği olarak yansıtıcı ikili yüklemeyi de kullandı.
Raporda, "Düşmanlar, geleneksel statik imza tabanlı kötü amaçlı yazılımdan koruma yeteneklerini atlatmak için genellikle bunun gibi gizleme tekniklerini kullanıyor" ifadesine yer verildi.
Kripto Para Borsaları Ateş Altında
Kripto para borsaları bir dizi acı yaşadı 2023'teki özel anahtar hırsızlığı saldırılarıBunların çoğu, haksız kazançlarını Kuzey Kore rejimini finanse etmek için kullanan Lazarus grubuna atfediliyor. FBI yakın zamanda grubun 1,580 bitcoin taşıdı fonları altı farklı bitcoin adresinde tutan birden fazla kripto para birimi soygunundan.
Eylül ayında saldırganlar keşfedildi 3D modelleyicileri ve grafik tasarımcılarını hedefliyoruz En az Kasım 2021'den beri devam eden bir kripto para hırsızlığı kampanyasında meşru bir Windows yükleme aracının kötü amaçlı sürümleriyle.
Bir ay önce araştırmacılar, birbiriyle ilişkili iki kötü amaçlı yazılım kampanyasını ortaya çıkardılar. CherryBlos ve FakeTrade, Android kullanıcılarını kripto para hırsızlığı ve diğer finansal amaçlı dolandırıcılıklar için hedef alan bir saldırı.
DPKR'den Büyüyen Tehdit
Kore Demokratik Halk Cumhuriyeti'ndeki (DPRK) çeşitli APT'lerin benzeri görülmemiş bir işbirliği, onları takip etmeyi zorlaştırıyor ve stratejik müdahale çabaları gerektiren agresif, karmaşık siber saldırılara zemin hazırlıyor, yakın zamanda yayınlanan bir rapora göre Mandiant uyardı.
Örneğin, ülkenin lideri Kim Jong Un'un, dallarını dünyanın dört bir yanına yaymaya devam eden Kimsuky adında bir İsviçre Çakısı APT var ve bu da onun terörden korkmadığını gösteriyor. araştırmacılar yaklaşıyor. Kimsuky birçok yineleme ve evrimden geçti; tamamen iki alt gruba bölünmüş.
Bu arada Lazarus grubunun bir ekleme yaptığı görülüyor karmaşık ve halen gelişmekte olan yeni arka kapı Kötü amaçlı yazılım cephaneliğine yönelik bu saldırı, ilk kez bir İspanyol havacılık ve uzay şirketinin başarılı bir siber saldırısında fark edildi.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers
- :vardır
- :dır-dir
- :olumsuzluk
- $UP
- 1
- 2021
- 3d
- 7
- a
- Yapabilmek
- erişim
- Göre
- katma
- adresleri
- ileri
- Uzay
- agresif
- Izin
- Ayrıca
- an
- analiz
- ve
- android
- herhangi
- uygulamayı yükleyeceğiz
- belirir
- Uygulama
- uygulamaları
- yaklaşım
- APT
- arbitraj
- Arşiv
- ARE
- ordu
- etrafında
- Cephanelik
- AS
- At
- saldırı
- saldırılar
- arka fon
- olmuştur
- inanılır
- arasında
- Bitcoin
- blockchain
- Bot
- şube
- fakat
- by
- denilen
- Kampanya
- Kampanyalar
- yetenekleri
- yetenekli
- zincir
- Çekler
- kapanış
- kod
- işbirliği
- çoğunlukla
- Yakın İletişim
- şirket
- karmaşık
- uzlaşma
- bilgisayar
- sonuç
- bağlı
- içerdiği
- devam ediyor
- ülke
- çevrimiçi kurslar düzenliyorlar.
- kripto
- cryptocurrency
- Cryptocurrency Exchange
- Cryptocurrency Borsaları
- doruğa
- Siber
- cyberattacks
- veri
- teslim etmek
- Talep
- demokratik
- açılma
- belirlemek
- Bulma
- gelişmiş
- gelişme
- cihaz
- fark
- farklı
- direkt
- direkt olarak
- dizinleri
- anlaşmazlık
- keşfetti
- dağıtıldı
- yok
- indir
- dprk
- çizim
- sürücü
- dublajlı
- çabaları
- istihdam
- teşvik etmek
- Mühendislik
- Mühendisler
- Tüm
- ortamları
- kurmak
- evrimler
- gelişen
- takas
- Değişimleri
- yürütmek
- infaz
- uzmanlara göre
- FBI
- özellikli
- fileto
- son
- son aşamalar
- mali
- Ad
- akış
- İçin
- Airdrop Formu
- bulundu
- itibaren
- fon
- para
- Kazançlar
- Verilmesi
- gitmiş
- grafik
- grup
- hackerlar
- vardı
- Daha güçlü
- Var
- yardımcı olur
- tutma
- HTTPS
- ithalat
- in
- Dahil olmak üzere
- rezil
- ilk
- başlatılan
- yüklü
- örnek
- içine
- dahil
- içeren
- IT
- yineleme
- ONUN
- jpg
- anahtar
- Kim
- Kore
- Koreli
- fırlatma
- Lazarus
- Lazarus Grubu
- lider
- en az
- meşru
- sınırlayıcı
- yükleme
- yerel
- makine
- macos
- Ana
- YAPAR
- kötü amaçlı yazılım
- çok
- yanıltıcı
- Ay
- çoğu
- motive
- çoklu
- adlı
- isimleri
- ağ
- yeni
- Kuzey
- ünlü
- Kasım
- Kasım 2021
- numara
- of
- devam
- Diğer
- dışarı
- düpedüz
- yol
- İnsanlar
- Platformlar
- Platon
- Plato Veri Zekası
- PlatoVeri
- anket
- olasılık
- hazırlanması
- Önceki
- Süreçler
- Programlar
- halka açık
- Python
- oranlar
- son
- geçenlerde
- azaltır
- rejim
- ilgili
- rapor
- cumhuriyet
- Araştırmacılar
- yanıt
- sorumlu
- koşmak
- s
- Adı geçen
- dolandırıcılığı
- senaryo
- scriptler
- güvenlik
- Eylül
- Dizi
- sunucu
- Hizmetler
- set
- Setleri
- ayar
- beri
- ALTINCI
- Sosyal Medya
- Sosyal mühendislik
- Yazılım
- İspanyolca
- bölmek
- yayılma
- Aşama
- aşamaları
- Yine
- Stratejik
- başarılı
- böyle
- acı
- İsviçre
- Hedef
- Hedeflenen
- takım
- teknik
- teknikleri
- o
- The
- Dünya
- hırsızlık
- ve bazı Asya
- Onları
- sonra
- onlar
- Re-Tweet
- tehdit
- İçinden
- Böylece
- için
- aldı
- araç
- Iz
- iz
- geleneksel
- iki
- UN
- açık
- altında
- eşi görülmemiş
- kullanım
- Kullanılmış
- kullanıcılar
- kullanım
- kullanma
- çeşitli
- versiyon
- sürümler
- Kurban
- kurbanlar
- bekler
- oldu
- vardı
- hangi
- pencereler
- ile
- içinde
- Dünya
- zefirnet
- zip