“KandyKorn”macOS 恶意软件引诱加密工程师

臭名昭著的朝鲜高级持续威胁（APT）组织 拉撒路 开发了一种名为“KandyKorn”的 macOS 恶意软件，用于攻击与加密货币交易所相关的区块链工程师。

根据一个 来自 Elastic 安全实验室的报告KandyKorn 拥有一套功能齐全的功能，可以检测、访问和窃取受害者计算机上的任何数据，包括加密货币服务和应用程序。

为了实现这一目标，Lazarus 采用了多阶段方法，涉及伪装成加密货币套利机器人（一种能够从加密货币交易平台之间的加密货币汇率差异中获利的软件工具）的 Python 应用程序。 该应用程序具有误导性的名称，包括“config.py”和“pricetable.py”，并通过公共 Discord 服务器分发。

然后，该组织利用社会工程技术鼓励受害者下载 zip 存档并将其解压到他们的开发环境中，据称其中包含该机器人。 事实上，该文件包含一个带有恶意代码的预构建 Python 应用程序。

Elastic Security 专家表示，攻击的受害者认为他们安装了套利机器人，但启动 Python 应用程序会启动多步骤恶意软件流的执行，最终部署 KandyKorn 恶意工具。

KandyKorn 恶意软件的感染例程

攻击从执行 Main.py 开始，其中导入了 Watcher.py。 该脚本检查 Python 版本，设置本地目录，并直接从 Google Drive 检索两个脚本：TestSpeed.py 和 FinderTools。

这些脚本用于下载并执行名为 Sugarloader 的模糊二进制文件，负责提供对机器的初始访问权限并准备恶意软件的最后阶段，其中还涉及名为 Hloader 的工具。

威胁团队能够追踪整个恶意软件部署路径，得出的结论是 KandyKorn 是执行链的最后阶段。

然后，KandyKorn 进程与黑客的服务器建立通信，使其能够分支并在后台运行。

根据分析，该恶意软件不会轮询设备和安装的应用程序，而是等待黑客的直接命令，这减少了创建的端点和网络工件的数量，从而限制了检测的可能性。

该威胁组织还使用反射二进制加载作为混淆技术，这有助于恶意软件绕过大多数检测程序。

报告指出：“攻击者通常使用此类混淆技术来绕过传统的基于静态签名的反恶意软件功能。”

加密货币交易所受到攻击

加密货币交易所遭受了一系列的打击 2023 年私钥盗窃攻击其中大部分归咎于拉撒路集团，该集团利用其不义之财为朝鲜政权提供资金。 美国联邦调查局 (FBI) 最近发现该组织 移动了 1,580 个比特币 来自多次加密货币抢劫，将资金存放在六个不同的比特币地址中。

XNUMX月，攻击者被发现 针对 3D 建模者和图形设计师 在至少自 2021 年 XNUMX 月以来一直持续的加密货币盗窃活动中，使用合法 Windows 安装程序工具的恶意版本。

一个月前，研究人员发现了两个相关的恶意软件活动，称为 CherryBlos 和 FakeTrade， 该组织针对 Android 用户进行加密货币盗窃和其他出于经济动机的诈骗。

来自朝鲜民主主义人民共和国的威胁日益增加

朝鲜民主主义人民共和国 (DPRK) 内部各种 APT 之间前所未有的合作使得追踪它们变得更加困难，从而为需要战略响应努力的激进、复杂的网络攻击奠定了基础。 曼迪安特警告.

例如，该国领导人金正恩拥有一把名为“Kimsuky”的瑞士军刀 APT，它的卷须继续在世界各地蔓延，这表明它并没有被美国的威胁所吓倒。 研究人员逼近。 Kimsuky 经历了多次迭代和演变，包括 完全分成两个子组.

与此同时，拉撒路组织似乎增加了一个 复杂且仍在不断发展的新后门 其恶意软件库首次被发现是在一家西班牙航空航天公司成功的网络入侵中。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers