Το Kandykorn Malware συνδέεται με την ομάδα Hacker της Βόρειας Κορέας

Μηχανικοί blockchain από μια άγνωστη πλατφόρμα ανταλλαγής κρυπτονομισμάτων στοχοποιούνται από κρατικούς φορείς απειλών που σχετίζονται με τη Λαϊκή Δημοκρατία της Κορέας μέσω του Discord. Χρησιμοποιούν ένα νέο κακόβουλο λογισμικό macOS που ονομάζεται KANDYKORN.

Η Elastic Security Labs ανέφερε ότι αυτή η δραστηριότητα, που χρονολογείται από τον Απρίλιο του 2023, μοιράζεται ομοιότητες με τη γνωστή αντίπαλη ομάδα, Lazarus Group. Αυτές οι ομοιότητες εντοπίστηκαν με την ανάλυση της υποδομής του δικτύου και των τεχνικών που χρησιμοποιήθηκαν.

Οι ερευνητές ασφαλείας Ricardo Ungureanu, Seth Goodwin και Andrew Pease αποκάλυψαν ότι οι παράγοντες της απειλής δελέασαν τους μηχανικούς blockchain με μια εφαρμογή Python για να αποκτήσουν αρχική πρόσβαση στα συστήματά τους. Αυτή η εισβολή αποτελούνταν από πολλαπλά περίπλοκα στάδια, το καθένα από τα οποία χρησιμοποιούσε σκόπιμες τεχνικές για την αποφυγή ανίχνευσης.

Το Lazarus Group έχει χρησιμοποιήσει στο παρελθόν κακόβουλο λογισμικό macOS στις επιθέσεις του. Σε ένα προηγούμενο περιστατικό νωρίτερα φέτος, διένειμαν μια παραποιημένη εφαρμογή PDF που τελικά οδήγησε στην ανάπτυξη του RustBucket, ενός backdoor που βασίζεται σε AppleScript, ικανό να ανακτήσει ένα ωφέλιμο φορτίο δεύτερου σταδίου από έναν απομακρυσμένο διακομιστή.

Αυτό που ξεχωρίζει αυτή τη νέα καμπάνια είναι ο τρόπος με τον οποίο οι εισβολείς υποδύονται τους μηχανικούς blockchain σε έναν δημόσιο διακομιστή Discord. Χρησιμοποιούν τακτικές κοινωνικής μηχανικής για να εξαπατήσουν τα θύματα να κατεβάσουν και να εκτελέσουν ένα αρχείο ZIP που περιέχει κακόβουλο κώδικα.

Οι ερευνητές εξήγησαν ότι το θύμα πίστευε ότι εγκαθιστούσε ένα ρομπότ arbitrage, ένα εργαλείο λογισμικού που θα μπορούσε να επωφεληθεί από τις διαφορές στις τιμές κρυπτονομισμάτων μεταξύ των πλατφορμών. Ωστόσο, στην πραγματικότητα, αυτή η διαδικασία άνοιξε το δρόμο για την παράδοση του KANDYKORN μέσω μιας διαδικασίας πέντε σταδίων.

Εσωτερικά του Kandykorn

Το KANDYKORN περιγράφεται ως ένα προηγμένο εμφύτευμα με πολλαπλές δυνατότητες, όπως παρακολούθηση, αλληλεπίδραση και ανίχνευση αποφυγής. Χρησιμοποιεί ανακλαστική φόρτωση, μια μέθοδο εκτέλεσης άμεσης μνήμης που μπορεί να παρακάμψει τις ανιχνεύσεις ασφαλείας.

Η επίθεση ξεκινά με ένα σενάριο Python (watcher.py), το οποίο ανακτά ένα άλλο σενάριο Python (testSpeed.py) από το Google Drive. Αυτό το σενάριο λειτουργεί ως dropper και ανακτά ένα επιπλέον αρχείο Python από μια διεύθυνση URL του Google Drive, που ονομάζεται FinderTools.

Το FinderTools, με τη σειρά του, χρησιμεύει ως dropper, κατεβάζοντας και εκτελώντας ένα κρυφό ωφέλιμο φορτίο δεύτερου σταδίου που ονομάζεται SUGARLOADER (/Users/shared/.sld και .log). Στη συνέχεια, το SUGARLOADER συνδέεται σε έναν απομακρυσμένο διακομιστή για να ανακτήσει το KANDYKORN και να το εκτελέσει απευθείας στη μνήμη.

Το SUGARLOADER είναι επίσης υπεύθυνο για την εκκίνηση ενός δυαδικού αρχείου με αυτο-υπογραφή που βασίζεται στο Swift, γνωστό ως HLOADER, το οποίο προσπαθεί να μιμηθεί τη νόμιμη εφαρμογή Discord. Εκτελεί το .log (δηλαδή, SUGARLOADER) για να επιτύχει επιμονή χρησιμοποιώντας μια τεχνική που ονομάζεται πειρατεία ροής εκτέλεσης.

Το KANDYKORN, το ωφέλιμο φορτίο τελικού σταδίου, είναι ένα ολοκληρωμένο πρόγραμμα Remote Access Trojan (RAT) με ενσωματωμένες δυνατότητες για απαρίθμηση αρχείων, εκτέλεση πρόσθετου κακόβουλου λογισμικού, εξαγωγή δεδομένων, τερματισμό διαδικασίας και εκτέλεση αυθαίρετων εντολών.