Nhóm đe dọa dai dẳng (APT) khét tiếng của Triều Tiên Lazarus đã phát triển một dạng phần mềm độc hại macOS có tên “KandyKorn”, loại phần mềm này đang sử dụng để nhắm mục tiêu vào các kỹ sư blockchain được kết nối với các sàn giao dịch tiền điện tử.
Theo một báo cáo từ Phòng thí nghiệm bảo mật đàn hồi, KandyKorn có một bộ khả năng đầy đủ tính năng để phát hiện, truy cập và đánh cắp bất kỳ dữ liệu nào từ máy tính của nạn nhân, bao gồm các ứng dụng và dịch vụ tiền điện tử.
Để cung cấp nó, Lazarus đã thực hiện một cách tiếp cận nhiều giai đoạn liên quan đến ứng dụng Python giả dạng bot chênh lệch giá tiền điện tử (một công cụ phần mềm có khả năng thu lợi từ sự khác biệt về tỷ giá tiền điện tử giữa các nền tảng trao đổi tiền điện tử). Ứng dụng này có các tên gây hiểu lầm, bao gồm “config.py” và “pricetable.py” và được phân phối thông qua máy chủ Discord công cộng.
Sau đó, nhóm này đã sử dụng các kỹ thuật lừa đảo xã hội để khuyến khích nạn nhân tải xuống và giải nén một kho lưu trữ zip vào môi trường phát triển của họ, được cho là có chứa bot. Trên thực tế, tệp này chứa một ứng dụng Python dựng sẵn có chứa mã độc.
Các chuyên gia của Elastic Security cho biết, nạn nhân của cuộc tấn công tin rằng họ đã cài đặt bot chênh lệch giá, nhưng việc khởi chạy ứng dụng Python đã bắt đầu thực thi luồng phần mềm độc hại nhiều bước mà đỉnh điểm là việc triển khai công cụ độc hại KandyKorn.
Quy trình lây nhiễm của phần mềm độc hại KandyKorn
Cuộc tấn công bắt đầu bằng việc thực thi Main.py, nhập Watcher.py. Tập lệnh này kiểm tra phiên bản Python, thiết lập các thư mục cục bộ và truy xuất hai tập lệnh trực tiếp từ Google Drive: TestSpeed.py và FinderTools.
Các tập lệnh này được sử dụng để tải xuống và thực thi một tệp nhị phân bị xáo trộn có tên Sugarloader, chịu trách nhiệm cấp quyền truy cập ban đầu vào máy và chuẩn bị các giai đoạn cuối của phần mềm độc hại, cũng liên quan đến một công cụ có tên Hloader.
Nhóm đe dọa có thể theo dõi toàn bộ lộ trình triển khai phần mềm độc hại và đưa ra kết luận rằng KandyKorn là giai đoạn cuối cùng của chuỗi thực thi.
Sau đó, các quy trình của KandyKorn sẽ thiết lập liên lạc với máy chủ của tin tặc, cho phép nó phân nhánh và chạy ở chế độ nền.
Theo phân tích, phần mềm độc hại không thăm dò thiết bị và ứng dụng đã cài đặt mà chờ lệnh trực tiếp từ tin tặc, điều này làm giảm số lượng điểm cuối và tạo phẩm mạng được tạo ra, do đó hạn chế khả năng bị phát hiện.
Nhóm đe dọa cũng sử dụng tải nhị phân phản chiếu như một kỹ thuật che giấu, giúp phần mềm độc hại vượt qua hầu hết các chương trình phát hiện.
Báo cáo lưu ý: “Các đối thủ thường sử dụng các kỹ thuật che giấu như thế này để vượt qua các khả năng chống phần mềm độc hại dựa trên chữ ký tĩnh truyền thống”.
Sàn giao dịch tiền điện tử đang bị cháy
Các sàn giao dịch tiền điện tử đã phải chịu một loạt các cuộc tấn công đánh cắp khóa riêng vào năm 2023, hầu hết trong số đó được cho là của nhóm Lazarus, nhóm sử dụng lợi nhuận bất chính của mình để tài trợ cho chế độ Triều Tiên. FBI gần đây phát hiện nhóm này có đã chuyển 1,580 bitcoin từ nhiều vụ trộm tiền điện tử, giữ tiền ở sáu địa chỉ bitcoin khác nhau.
Vào tháng 9, những kẻ tấn công đã bị phát hiện nhắm mục tiêu các nhà tạo mô hình 3D và nhà thiết kế đồ họa với các phiên bản độc hại của công cụ cài đặt Windows hợp pháp trong một chiến dịch đánh cắp tiền điện tử đang diễn ra ít nhất là từ tháng 2021 năm XNUMX.
Một tháng trước, các nhà nghiên cứu đã phát hiện ra hai chiến dịch phần mềm độc hại có liên quan, được đặt tên là CherryBlos và FakeTrade, nhắm mục tiêu vào người dùng Android để đánh cắp tiền điện tử và các trò lừa đảo có động cơ tài chính khác.
Mối đe dọa ngày càng tăng từ DPKR
Một báo cáo gần đây của từ Mandiant đã cảnh báo.
Ví dụ, nhà lãnh đạo đất nước, Kim Jong Un, có một con dao quân đội Thụy Sĩ APT tên là Kimsuky, con dao này tiếp tục lan rộng khắp thế giới, cho thấy nó không bị đe dọa bởi các nhà nghiên cứu kết thúc. Kimsuky đã trải qua nhiều lần lặp lại và phát triển, bao gồm cả một sự phân chia hoàn toàn thành hai nhóm nhỏ.
Trong khi đó, nhóm Lazarus dường như đã bổ sung thêm một cửa hậu mới phức tạp và vẫn đang phát triển vào kho vũ khí phần mềm độc hại của nó, lần đầu tiên được phát hiện trong một cuộc tấn công mạng thành công của một công ty hàng không vũ trụ Tây Ban Nha.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers
- : có
- :là
- :không phải
- $ LÊN
- 1
- 2021
- 3d
- 7
- a
- Có khả năng
- truy cập
- Theo
- thêm
- địa chỉ
- tiên tiến
- Không gian vũ trụ
- tích cực
- Cho phép
- Ngoài ra
- an
- phân tích
- và
- Android
- bất kì
- ứng dụng
- xuất hiện
- Các Ứng Dụng
- các ứng dụng
- phương pháp tiếp cận
- APT
- trao đổi chứng khóan
- lưu trữ
- LÀ
- Quân đội
- xung quanh
- Arsenal
- AS
- At
- tấn công
- Các cuộc tấn công
- lý lịch
- được
- tin
- giữa
- Bitcoin
- blockchain
- Bot
- Chi nhánh
- nhưng
- by
- gọi là
- Chiến dịch
- Chiến dịch
- khả năng
- có khả năng
- chuỗi
- Séc
- đóng cửa
- mã
- hợp tác
- thông thường
- Giao tiếp
- công ty
- phức tạp
- thỏa hiệp
- máy tính
- phần kết luận
- kết nối
- chứa
- liên tiếp
- đất nước
- tạo ra
- Crypto
- cryptocurrency
- Trao đổi tiền điện tử
- Trao đổi tiền điện tử
- đỉnh điểm
- không gian mạng
- Tấn công mạng
- dữ liệu
- cung cấp
- Nhu cầu
- dân chủ
- triển khai
- phát hiện
- Phát hiện
- phát triển
- Phát triển
- thiết bị
- sự khác biệt
- khác nhau
- trực tiếp
- trực tiếp
- thư mục
- bất hòa
- phát hiện
- phân phối
- làm
- tải về
- dprk
- vẽ
- lái xe
- được mệnh danh là
- những nỗ lực
- việc làm
- khuyến khích
- Kỹ Sư
- Kỹ sư
- Toàn bộ
- môi trường
- thành lập
- diễn biến
- phát triển
- Sàn giao dịch
- Trao đổi
- thi hành
- thực hiện
- các chuyên gia
- fbi
- đặc sắc
- Tập tin
- cuối cùng
- giai đoạn cuối cùng
- tài chính
- Tên
- dòng chảy
- Trong
- hình thức
- tìm thấy
- từ
- quỹ
- quỹ
- thu nhập
- Cho
- đi
- Đồ họa
- Nhóm
- tin tặc
- có
- khó hơn
- Có
- giúp
- tổ chức
- HTTPS
- nhập khẩu
- in
- Bao gồm
- ô nhục
- ban đầu
- khởi xướng
- cài đặt
- ví dụ
- trong
- liên quan
- liên quan đến
- IT
- sự lặp lại
- ITS
- jpg
- Key
- Kim
- korea
- Tiếng Hàn
- ra mắt
- Lazarus
- Tập đoàn Lazarus
- lãnh đạo
- ít nhất
- hợp pháp
- hạn chế
- tải
- địa phương
- máy
- hệ điều hành Mac
- Chủ yếu
- LÀM CHO
- phần mềm độc hại
- nhiều
- gây hiểu lầm
- tháng
- hầu hết
- động cơ
- nhiều
- Được đặt theo tên
- tên
- mạng
- Mới
- Bắc
- lưu ý
- Tháng mười một
- Tháng Mười Một 2021
- con số
- of
- đang diễn ra
- Nền tảng khác
- ra
- ngay
- con đường
- người
- Nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- bỏ phiếu
- khả năng
- chuẩn bị
- Trước khi
- Quy trình
- Khóa Học
- công khai
- Python
- Giá
- gần đây
- gần đây
- làm giảm
- chế độ
- liên quan
- báo cáo
- Cộng hòa
- nhà nghiên cứu
- phản ứng
- chịu trách nhiệm
- chạy
- s
- Nói
- lừa đảo
- kịch bản
- kịch bản
- an ninh
- Tháng Chín
- Loạt Sách
- máy chủ
- DỊCH VỤ
- định
- bộ
- thiết lập
- kể từ khi
- Six
- Mạng xã hội
- Kỹ thuật xã hội
- Phần mềm
- Tiếng Tây Ban Nha
- chia
- lan tràn
- Traineeship
- giai đoạn
- Vẫn còn
- Chiến lược
- thành công
- như vậy
- chịu đựng
- Thụy Sĩ
- Mục tiêu
- nhắm mục tiêu
- nhóm
- kỹ thuật
- kỹ thuật
- việc này
- Sản phẩm
- thế giới
- trộm cắp
- cung cấp their dịch
- Them
- sau đó
- họ
- điều này
- mối đe dọa
- Thông qua
- Như vậy
- đến
- mất
- công cụ
- Dấu vết
- theo dõi
- truyền thống
- hai
- UN
- để hở
- Dưới
- chưa từng có
- sử dụng
- đã sử dụng
- Người sử dụng
- sử dụng
- sử dụng
- khác nhau
- phiên bản
- phiên bản
- nạn nhân
- nạn nhân
- chờ đợi
- là
- là
- cái nào
- cửa sổ
- với
- ở trong
- thế giới
- zephyrnet
- Zip
