Το 'KandyKorn' macOS Malware δελεάζει Crypto Engineers

Η διαβόητη βορειοκορεατική ομάδα προηγμένης επίμονης απειλής (APT). Λάζαρος έχει αναπτύξει μια μορφή κακόβουλου λογισμικού macOS που ονομάζεται "KandyKorn", το οποίο χρησιμοποιεί για να στοχεύσει μηχανικούς blockchain που συνδέονται με ανταλλακτήρια κρυπτονομισμάτων.

Σύμφωνα με ένα έκθεση από την Elastic Security Labs, το KandyKorn διαθέτει ένα πλήρες σύνολο δυνατοτήτων για τον εντοπισμό, την πρόσβαση και την κλοπή τυχόν δεδομένων από τον υπολογιστή του θύματος, συμπεριλαμβανομένων υπηρεσιών και εφαρμογών κρυπτονομισμάτων.

Για να το παραδώσει, ο Lazarus ακολούθησε μια προσέγγιση πολλαπλών σταδίων που περιλάμβανε μια εφαρμογή Python που μεταμφιέζεται σε bot αρμπιτράζ κρυπτονομισμάτων (ένα εργαλείο λογισμικού ικανό να επωφεληθεί από τη διαφορά στις τιμές κρυπτονομισμάτων μεταξύ πλατφορμών ανταλλαγής κρυπτονομισμάτων). Η εφαρμογή περιείχε παραπλανητικά ονόματα, συμπεριλαμβανομένων των "config.py" και "pricetaable.py", και διανεμήθηκε μέσω ενός δημόσιου διακομιστή Discord.

Στη συνέχεια, η ομάδα χρησιμοποίησε τεχνικές κοινωνικής μηχανικής για να ενθαρρύνει τα θύματά της να κατεβάσουν και να αποσυμπιέσουν ένα αρχείο zip στα περιβάλλοντα ανάπτυξής τους, το οποίο υποτίθεται ότι περιέχει το bot. Στην πραγματικότητα, το αρχείο περιείχε μια προκατασκευασμένη εφαρμογή Python με κακόβουλο κώδικα.

Τα θύματα της επίθεσης πίστεψαν ότι είχαν εγκαταστήσει ένα bot arbitrage, αλλά η εκκίνηση της εφαρμογής Python ξεκίνησε την εκτέλεση μιας ροής κακόβουλου λογισμικού πολλαπλών βημάτων που κορυφώθηκε με την ανάπτυξη του κακόβουλου εργαλείου KandyKorn, είπαν οι ειδικοί της Elastic Security.

Ρουτίνα μόλυνσης από κακόβουλο λογισμικό KandyKorn

Η επίθεση ξεκινά με την εκτέλεση του Main.py, το οποίο εισάγει το Watcher.py. Αυτό το σενάριο ελέγχει την έκδοση Python, ρυθμίζει τοπικούς καταλόγους και ανακτά δύο σενάρια απευθείας από το Google Drive: TestSpeed.py και FinderTools.

Αυτά τα σενάρια χρησιμοποιούνται για τη λήψη και την εκτέλεση ενός συγκεχυμένου δυαδικού αρχείου που ονομάζεται Sugarloader, υπεύθυνο για την παροχή αρχικής πρόσβασης στο μηχάνημα και την προετοιμασία των τελικών σταδίων του κακόβουλου λογισμικού, το οποίο περιλαμβάνει επίσης ένα εργαλείο που ονομάζεται Hloader.

Η ομάδα απειλών μπόρεσε να εντοπίσει ολόκληρη τη διαδρομή ανάπτυξης κακόβουλου λογισμικού, καταλήγοντας στο συμπέρασμα ότι το KandyKorn είναι το τελικό στάδιο της αλυσίδας εκτέλεσης.

Στη συνέχεια, οι διαδικασίες KandyKorn δημιουργούν επικοινωνία με τον διακομιστή των χάκερ, επιτρέποντάς του να διακλαδωθεί και να εκτελεστεί στο παρασκήνιο.

Το κακόβουλο λογισμικό δεν μετράει τη συσκευή και τις εγκατεστημένες εφαρμογές, αλλά περιμένει άμεσες εντολές από τους χάκερ, σύμφωνα με την ανάλυση, γεγονός που μειώνει τον αριθμό των τελικών σημείων και των τεχνουργημάτων δικτύου που δημιουργούνται, περιορίζοντας έτσι τη δυνατότητα εντοπισμού.

Η ομάδα απειλών χρησιμοποίησε επίσης ανακλαστική δυαδική φόρτωση ως τεχνική συσκότισης, η οποία βοηθά το κακόβουλο λογισμικό να παρακάμψει τα περισσότερα προγράμματα ανίχνευσης.

«Οι αντίπαλοι χρησιμοποιούν συνήθως τεχνικές συσκότισης όπως αυτή για να παρακάμψουν τις παραδοσιακές δυνατότητες antimalware που βασίζονται σε στατικές υπογραφές», σημειώνει η έκθεση.

Υπό φωτιά οι ανταλλαγές κρυπτονομισμάτων

Οι ανταλλαγές κρυπτονομισμάτων έχουν υποστεί μια σειρά από επιθέσεις κλοπής ιδιωτικού κλειδιού το 2023, τα περισσότερα από τα οποία έχουν αποδοθεί στην ομάδα Lazarus, η οποία χρησιμοποιεί τα παράνομα κέρδη της για να χρηματοδοτήσει το καθεστώς της Βόρειας Κορέας. Το FBI ανακάλυψε πρόσφατα ότι η ομάδα είχε μετακίνησε 1,580 bitcoin από πολλαπλές ληστείες κρυπτονομισμάτων, κρατώντας τα κεφάλαια σε έξι διαφορετικές διευθύνσεις bitcoin.

Τον Σεπτέμβριο, οι δράστες ανακαλύφθηκαν στοχεύοντας τρισδιάστατους μοντελιστές και γραφίστες με κακόβουλες εκδόσεις ενός νόμιμου εργαλείου εγκατάστασης των Windows σε μια καμπάνια κλοπής κρυπτονομισμάτων που βρίσκεται σε εξέλιξη τουλάχιστον από τον Νοέμβριο του 2021.

Ένα μήνα πριν, οι ερευνητές αποκάλυψαν δύο σχετικές καμπάνιες κακόβουλου λογισμικού, μεταγλωττισμένες CherryBlos και FakeTrade, που στόχευε χρήστες Android για κλοπή κρυπτονομισμάτων και άλλες απάτες με οικονομικά κίνητρα.

Αυξανόμενη απειλή από το DPKR

Μια άνευ προηγουμένου συνεργασία από διάφορα APT εντός της Λαϊκής Δημοκρατίας της Κορέας (ΛΔΚ) καθιστά πιο δύσκολη την παρακολούθηση τους, θέτοντας το έδαφος για επιθετικές, περίπλοκες επιθέσεις στον κυβερνοχώρο που απαιτούν προσπάθειες στρατηγικής απάντησης, μια πρόσφατη έκθεση από προειδοποίησε ο Mandiant.

Για παράδειγμα, ο ηγέτης της χώρας, Κιμ Γιονγκ Ουν, έχει ένα ελβετικό μαχαίρι APT με το όνομα Kimsuky, το οποίο συνεχίζει να απλώνει τα άκρα του σε όλο τον κόσμο, δείχνοντας ότι δεν πτοείται από ερευνητές που πλησιάζουν. Ο Kimsuky έχει περάσει από πολλές επαναλήψεις και εξελίξεις, μεταξύ των οποίων μια πλήρης διαίρεση σε δύο υποομάδες.

Εν τω μεταξύ, η ομάδα Lazarus φαίνεται να έχει προσθέσει α πολύπλοκη και ακόμα εξελισσόμενη νέα κερκόπορτα στο οπλοστάσιο κακόβουλου λογισμικού της, που εντοπίστηκε για πρώτη φορά σε έναν επιτυχημένο συμβιβασμό στον κυβερνοχώρο μιας ισπανικής αεροδιαστημικής εταιρείας.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers