Kandykorn-Malware steht im Zusammenhang mit der nordkoreanischen Hackergruppe

Blockchain-Ingenieure einer nicht genannten Kryptowährungs-Austauschplattform werden über Discord von staatlich geförderten Bedrohungsakteuren aus der Demokratischen Volksrepublik Korea ins Visier genommen. Sie verwenden eine neue macOS-Malware namens KANDYKORN.

Elastic Security Labs berichtete, dass diese Aktivität, die auf April 2023 zurückgeht, Ähnlichkeiten mit der bekannten gegnerischen Gruppe Lazarus Group aufweist. Diese Ähnlichkeiten wurden durch die Analyse der Netzwerkinfrastruktur und der verwendeten Techniken identifiziert.

Die Sicherheitsforscher Ricardo Ungureanu, Seth Goodwin und Andrew Pease enthüllten, dass die Bedrohungsakteure Blockchain-Ingenieure mit einer Python-Anwendung dazu verleiteten, ersten Zugriff auf ihre Systeme zu erhalten. Dieser Einbruch bestand aus mehreren komplizierten Phasen, in denen jeweils bewusste Techniken eingesetzt wurden, um einer Entdeckung zu entgehen.

Die Lazarus Group hat bei ihren Angriffen bereits zuvor macOS-Malware eingesetzt. Bei einem früheren Vorfall Anfang des Jahres verbreiteten sie eine manipulierte PDF-Anwendung, die letztendlich zum Einsatz von RustBucket führte, einer AppleScript-basierten Hintertür, die in der Lage ist, eine Nutzlast der zweiten Stufe von einem Remote-Server abzurufen.

Das Besondere an dieser neuen Kampagne ist, dass sich die Angreifer auf einem öffentlichen Discord-Server als Blockchain-Ingenieure ausgeben. Sie nutzen Social-Engineering-Taktiken, um Opfer dazu zu verleiten, ein ZIP-Archiv mit bösartigem Code herunterzuladen und auszuführen.

Die Forscher erklärten, dass das Opfer glaubte, einen Arbitrage-Bot zu installieren, ein Softwaretool, das von Kryptowährungskursunterschieden zwischen Plattformen profitieren könnte. Tatsächlich ebnete dieser Prozess jedoch den Weg für die Lieferung von KANDYKORN in einem fünfstufigen Verfahren.

Kandykorns Interna

KANDYKORN wird als fortschrittliches Implantat mit mehreren Funktionen beschrieben, einschließlich Überwachung, Interaktion und Umgehung der Erkennung. Es nutzt „Reflective Loading“, eine Ausführungsmethode im direkten Speicher, die Sicherheitserkennungen umgehen kann.

Der Angriff beginnt mit einem Python-Skript (watcher.py), das ein weiteres Python-Skript (testSpeed.py) von Google Drive abruft. Dieses Skript fungiert als Dropper und ruft eine zusätzliche Python-Datei mit dem Namen FinderTools von einer Google Drive-URL ab.

FinderTools wiederum dient als Dropper und lädt eine versteckte Nutzlast der zweiten Stufe namens SUGARLOADER (/Users/shared/.sld und .log) herunter und führt sie aus. SUGARLOADER stellt dann eine Verbindung zu einem Remote-Server her, um KANDYKORN abzurufen und direkt im Speicher auszuführen.

SUGARLOADER ist auch für den Start einer Swift-basierten selbstsignierten Binärdatei namens HLOADER verantwortlich, die versucht, die legitime Discord-Anwendung nachzuahmen. Es führt .log (d. h. SUGARLOADER) aus, um mithilfe einer Technik namens Execution Flow Hijacking Persistenz zu erreichen.

KANDYKORN, die Nutzlast der letzten Stufe, ist ein umfassender speicherresidenter Remote-Access-Trojaner (RAT) mit integrierten Funktionen zur Dateiaufzählung, der Ausführung zusätzlicher Malware, der Datenexfiltration, der Prozessbeendigung und der Ausführung beliebiger Befehle.