«KandyKorn» зловмисне програмне забезпечення для macOS заманює криптоінженерів

Сумно відома північнокорейська передова група постійної загрози (APT). Лазар розробила форму зловмисного ПЗ для macOS під назвою «KandyKorn», яку вона використовує для націлювання на інженерів блокчейну, підключених до бірж криптовалют.

У відповідності з звіт від Elastic Security Labs, KandyKorn має повнофункціональний набір можливостей для виявлення, доступу та викрадення будь-яких даних з комп’ютера жертви, включно з криптовалютними службами та програмами.

Щоб реалізувати це, Lazarus застосував багатоетапний підхід із залученням програми Python, яка маскувалася під криптовалютного арбітражного бота (програмний інструмент, здатний отримувати прибуток від різниці в курсах криптовалюти між платформами обміну криптовалютою). Додаток містив оманливі назви, зокрема «config.py» і «pricetable.py», і поширювався через публічний сервер Discord.

Потім група застосувала методи соціальної інженерії, щоб спонукати своїх жертв завантажити та розпакувати архів zip у своє середовище розробки, який нібито містить бота. Насправді файл містив попередньо зібрану програму Python зі шкідливим кодом.

Жертви атаки вважали, що встановили арбітражного бота, але запуск програми Python ініціював виконання багатоетапного потоку зловмисного програмного забезпечення, кульмінацією якого стало розгортання шкідливого інструменту KandyKorn, повідомили експерти Elastic Security.

Процедура зараження шкідливим програмним забезпеченням KandyKorn

Атака починається з виконання Main.py, який імпортує Watcher.py. Цей сценарій перевіряє версію Python, налаштовує локальні каталоги та отримує два сценарії безпосередньо з Диска Google: TestSpeed.py і FinderTools.

Ці сценарії використовуються для завантаження та виконання обфусцованого двійкового файлу під назвою Sugarloader, відповідального за надання початкового доступу до машини та підготовку останніх етапів шкідливого програмного забезпечення, які також включають інструмент під назвою Hloader.

Команда із захисту від загроз змогла простежити весь шлях розгортання зловмисного програмного забезпечення, зробивши висновок, що KandyKorn є завершальною стадією ланцюжка виконання.

Потім процеси KandyKorn встановлюють зв’язок із сервером хакерів, дозволяючи йому розгалужуватися та працювати у фоновому режимі.

Зловмисне програмне забезпечення не опитує пристрій і встановлені програми, а чекає прямих команд від хакерів, відповідно до аналізу, що зменшує кількість створюваних кінцевих точок і мережевих артефактів, таким чином обмежуючи можливість виявлення.

Група загроз також використовувала рефлексивне двійкове завантаження як техніку обфускації, яка допомагає зловмисному ПЗ обійти більшість програм виявлення.

«Зловмисники зазвичай використовують подібні методи обфускації, щоб обійти традиційні засоби захисту від зловмисного програмного забезпечення на основі статичних сигнатур», — зазначено у звіті.

Криптовалютні біржі під обстрілом

Криптовалютні біржі постраждали від низки атаки з використанням приватних ключів у 2023 році, більшість з яких приписують групі Lazarus, яка використовує свої нечесно здобуті гроші для фінансування режиму Північної Кореї. Нещодавно ФБР виявило, що група мала перемістив 1,580 біткойнів від численних крадіжок криптовалюти, зберігаючи кошти на шести різних біткойн-адресах.

У вересні зловмисників викрили орієнтований на 3D-моделістів і графічних дизайнерів зі зловмисними версіями законного інструменту встановлення Windows у кампанії крадіжки криптовалюти, яка триває щонайменше з листопада 2021 року.

За місяць до цього дослідники виявили дві пов’язані кампанії зловмисного програмного забезпечення, які отримали назву CherryBlos і FakeTrade, які були націлені на користувачів Android для крадіжки криптовалюти та інших фінансових шахрайств.

Зростання загрози з боку КНДР

Безпрецедентна співпраця різних APT у Корейській Народно-Демократичній Республіці (КНДР) ускладнює їх відстеження, готуючи основу для агресивних, складних кібератак, які вимагають стратегічних зусиль реагування, нещодавній звіт від — попередив Мандіант.

Наприклад, лідер країни Кім Чен Ин має швейцарський армійський ніж APT під назвою Kimsuky, який продовжує поширювати свої вусики по всьому світу, вказуючи на те, що його не лякають дослідники наближаються. Kimsuky пройшов через багато ітерацій та еволюцій, в т.ч прямий розкол на дві підгрупи.

Тим часом група Lazarus, схоже, додала a складний новий бекдор, який все ще розвивається до свого арсеналу зловмисного програмного забезпечення, вперше поміченого під час успішного кіберзлому іспанської аерокосмічної компанії.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers