Kandykorn Malware knyttet til North Korean Hacker Group

Blockchain-ingeniører fra en ikke-offentliggjort cryptocurrency-udvekslingsplatform bliver målrettet af statssponsorerede trusselsaktører forbundet med Den Demokratiske Folkerepublik Korea gennem Discord. De bruger en ny macOS malware kaldet KANDYKORN.

Elastic Security Labs rapporterede, at denne aktivitet, der går tilbage til april 2023, deler ligheder med den velkendte modstandsgruppe, Lazarus Group. Disse ligheder blev identificeret ved at analysere netværksinfrastrukturen og de anvendte teknikker.

Sikkerhedsforskere Ricardo Ungureanu, Seth Goodwin og Andrew Pease afslørede, at trusselsaktørerne lokkede blockchain-ingeniører med en Python-applikation til at få indledende adgang til deres systemer. Denne indtrængen bestod af flere indviklede stadier, der hver brugte bevidste teknikker for at undgå opdagelse.

Lazarus Group har tidligere brugt macOS malware i sine angreb. I en tidligere hændelse tidligere på året distribuerede de en manipuleret PDF-applikation, der i sidste ende førte til implementeringen af RustBucket, en AppleScript-baseret bagdør, der er i stand til at hente en anden trins nyttelast fra en fjernserver.

Det, der adskiller denne nye kampagne, er, hvordan angriberne efterligner blockchain-ingeniører på en offentlig Discord-server. De bruger social engineering taktik til at bedrage ofrene til at downloade og udføre et ZIP-arkiv, der indeholder ondsindet kode.

Forskerne forklarede, at offeret troede, at de installerede en arbitrage-bot, et softwareværktøj, der kunne drage fordel af cryptocurrency-kursforskelle mellem platforme. Men i virkeligheden banede denne proces vejen for leveringen af KANDYKORN gennem en fem-trins procedure.

Kandykorns indre

KANDYKORN beskrives som et avanceret implantat med flere muligheder, herunder overvågning, interaktion og undgåelse af detektion. Den anvender reflekterende indlæsning, en udførelsesmetode med direkte hukommelse, der kan omgå sikkerhedsdetekteringer.

Angrebet begynder med et Python-script (watcher.py), som henter et andet Python-script (testSpeed.py) fra Google Drev. Dette script fungerer som en dropper og henter en ekstra Python-fil fra en Google Drev-URL, kaldet FinderTools.

FinderTools fungerer til gengæld som en dropper, der downloader og udfører en skjult nyttelast i andet trin kaldet SUGARLOADER (/Users/shared/.sld og .log). SUGARLOADER opretter derefter forbindelse til en fjernserver for at hente KANDYKORN og udføre den direkte i hukommelsen.

SUGARLOADER er også ansvarlig for at lancere en Swift-baseret selvsigneret binær, kendt som HLOADER, som forsøger at efterligne den legitime Discord-applikation. Den udfører .log (dvs. SUGARLOADER) for at opnå persistens ved hjælp af en teknik kaldet execution flow hijacking.

KANDYKORN, sidste trins nyttelast, er en omfattende hukommelsesresident Remote Access Trojan (RAT) med indbyggede funktioner til filoptælling, kørsel af yderligere malware, dataeksfiltrering, procesterminering og udførelse af vilkårlige kommandoer.