Сумно відома північнокорейська передова група постійної загрози (APT). Лазар розробила форму зловмисного ПЗ для macOS під назвою «KandyKorn», яку вона використовує для націлювання на інженерів блокчейну, підключених до бірж криптовалют.
У відповідності з звіт від Elastic Security Labs, KandyKorn має повнофункціональний набір можливостей для виявлення, доступу та викрадення будь-яких даних з комп’ютера жертви, включно з криптовалютними службами та програмами.
Щоб реалізувати це, Lazarus застосував багатоетапний підхід із залученням програми Python, яка маскувалася під криптовалютного арбітражного бота (програмний інструмент, здатний отримувати прибуток від різниці в курсах криптовалюти між платформами обміну криптовалютою). Додаток містив оманливі назви, зокрема «config.py» і «pricetable.py», і поширювався через публічний сервер Discord.
Потім група застосувала методи соціальної інженерії, щоб спонукати своїх жертв завантажити та розпакувати архів zip у своє середовище розробки, який нібито містить бота. Насправді файл містив попередньо зібрану програму Python зі шкідливим кодом.
Жертви атаки вважали, що встановили арбітражного бота, але запуск програми Python ініціював виконання багатоетапного потоку зловмисного програмного забезпечення, кульмінацією якого стало розгортання шкідливого інструменту KandyKorn, повідомили експерти Elastic Security.
Процедура зараження шкідливим програмним забезпеченням KandyKorn
Атака починається з виконання Main.py, який імпортує Watcher.py. Цей сценарій перевіряє версію Python, налаштовує локальні каталоги та отримує два сценарії безпосередньо з Диска Google: TestSpeed.py і FinderTools.
Ці сценарії використовуються для завантаження та виконання обфусцованого двійкового файлу під назвою Sugarloader, відповідального за надання початкового доступу до машини та підготовку останніх етапів шкідливого програмного забезпечення, які також включають інструмент під назвою Hloader.
Команда із захисту від загроз змогла простежити весь шлях розгортання зловмисного програмного забезпечення, зробивши висновок, що KandyKorn є завершальною стадією ланцюжка виконання.
Потім процеси KandyKorn встановлюють зв’язок із сервером хакерів, дозволяючи йому розгалужуватися та працювати у фоновому режимі.
Зловмисне програмне забезпечення не опитує пристрій і встановлені програми, а чекає прямих команд від хакерів, відповідно до аналізу, що зменшує кількість створюваних кінцевих точок і мережевих артефактів, таким чином обмежуючи можливість виявлення.
Група загроз також використовувала рефлексивне двійкове завантаження як техніку обфускації, яка допомагає зловмисному ПЗ обійти більшість програм виявлення.
«Зловмисники зазвичай використовують подібні методи обфускації, щоб обійти традиційні засоби захисту від зловмисного програмного забезпечення на основі статичних сигнатур», — зазначено у звіті.
Криптовалютні біржі під обстрілом
Криптовалютні біржі постраждали від низки атаки з використанням приватних ключів у 2023 році, більшість з яких приписують групі Lazarus, яка використовує свої нечесно здобуті гроші для фінансування режиму Північної Кореї. Нещодавно ФБР виявило, що група мала перемістив 1,580 біткойнів від численних крадіжок криптовалюти, зберігаючи кошти на шести різних біткойн-адресах.
У вересні зловмисників викрили орієнтований на 3D-моделістів і графічних дизайнерів зі зловмисними версіями законного інструменту встановлення Windows у кампанії крадіжки криптовалюти, яка триває щонайменше з листопада 2021 року.
За місяць до цього дослідники виявили дві пов’язані кампанії зловмисного програмного забезпечення, які отримали назву CherryBlos і FakeTrade, які були націлені на користувачів Android для крадіжки криптовалюти та інших фінансових шахрайств.
Зростання загрози з боку КНДР
Безпрецедентна співпраця різних APT у Корейській Народно-Демократичній Республіці (КНДР) ускладнює їх відстеження, готуючи основу для агресивних, складних кібератак, які вимагають стратегічних зусиль реагування, нещодавній звіт від — попередив Мандіант.
Наприклад, лідер країни Кім Чен Ин має швейцарський армійський ніж APT під назвою Kimsuky, який продовжує поширювати свої вусики по всьому світу, вказуючи на те, що його не лякають дослідники наближаються. Kimsuky пройшов через багато ітерацій та еволюцій, в т.ч прямий розкол на дві підгрупи.
Тим часом група Lazarus, схоже, додала a складний новий бекдор, який все ще розвивається до свого арсеналу зловмисного програмного забезпечення, вперше поміченого під час успішного кіберзлому іспанської аерокосмічної компанії.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers
- : має
- :є
- : ні
- $UP
- 1
- 2021
- 3d
- 7
- a
- Здатний
- доступ
- За
- доданий
- адреси
- просунутий
- Авіаційно-космічний
- агресивний
- Дозволити
- Також
- an
- аналіз
- та
- чоловіча
- будь-який
- додаток
- з'являється
- додаток
- застосування
- підхід
- APT
- арбітраж
- архів
- ЕСТЬ
- армія
- навколо
- арсенал
- AS
- At
- атака
- нападки
- фон
- було
- вважається,
- між
- Біткойн
- blockchain
- Бот
- Філія
- але
- by
- званий
- Кампанія
- Кампанії
- можливості
- здатний
- ланцюг
- Перевірки
- закриття
- код
- співробітництво
- зазвичай
- Комунікація
- компанія
- комплекс
- компроміс
- комп'ютер
- висновок
- підключений
- містяться
- триває
- країна
- створений
- крипто
- криптовалюта
- Обмін криптовалют
- Обмін криптовалют
- кульмінацією
- кібер-
- кібератаки
- дані
- доставляти
- Попит
- демократичний
- розгортання
- виявляти
- Виявлення
- розвиненою
- розробка
- пристрій
- різниця
- різний
- прямий
- безпосередньо
- каталоги
- розбрат
- відкритий
- розподілений
- робить
- скачати
- dprk
- малювання
- управляти
- охрестили
- зусилля
- працевлаштований
- заохочувати
- Машинобудування
- Інженери
- Весь
- середовищах
- встановити
- еволюції
- еволюціонує
- обмін
- Біржі
- виконувати
- виконання
- experts
- fbi
- ознаками
- філе
- остаточний
- заключні етапи
- фінансово
- Перший
- потік
- для
- форма
- знайдений
- від
- фонд
- засоби
- прибуток
- дає
- пішов
- Графічний
- Group
- хакери
- було
- важче
- Мати
- допомагає
- проведення
- HTTPS
- імпорт
- in
- У тому числі
- ганебний
- початковий
- розпочатий
- встановлений
- екземпляр
- в
- залучати
- за участю
- IT
- ітерації
- ЙОГО
- JPG
- ключ
- Кім
- Корея
- корейський
- запуск
- Лазар
- Група «Лазар»
- лідер
- найменш
- законний
- обмежуючий
- погрузка
- місцевий
- машина
- MacOS
- головний
- РОБОТИ
- шкідливих програм
- багато
- вводить в оману
- місяць
- найбільш
- мотивовані
- множинний
- Названий
- Імена
- мережу
- Нові
- На північ
- зазначив,
- Листопад
- листопад 2021
- номер
- of
- постійний
- Інше
- з
- відверто
- шлях
- Люди
- Платформи
- plato
- Інформація про дані Платона
- PlatoData
- голосування
- можливість
- підготовка
- попередній
- процеси
- програми
- громадськість
- Python
- ставки
- останній
- нещодавно
- знижує
- режим
- пов'язаний
- звітом
- Республіка
- Дослідники
- відповідь
- відповідальний
- прогін
- s
- Зазначений
- шахрайство
- сценарій
- scripts
- безпеку
- Вересень
- Серія
- сервер
- Послуги
- комплект
- набори
- установка
- з
- SIX
- соціальна
- Соціальна інженерія
- Софтвер
- іспанська
- розкол
- поширення
- Стажування
- етапи
- Як і раніше
- Стратегічний
- успішний
- такі
- страждав
- Швейцарський
- Мета
- цільове
- команда
- техніка
- методи
- Що
- Команда
- світ
- крадіжка
- їх
- Їх
- потім
- вони
- це
- загроза
- через
- Таким чином
- до
- прийняли
- інструмент
- Трасування
- трек
- традиційний
- два
- UN
- непокритий
- при
- безпрецедентний
- використання
- використовуваний
- користувачі
- використовує
- використання
- різний
- версія
- версії
- Жертва
- жертви
- чекає
- було
- були
- який
- windows
- з
- в
- світ
- зефірнет
- Zip