Kandykorn Malware lié au groupe de hackers nord-coréen

Les ingénieurs blockchain d'une plateforme d'échange de cryptomonnaies non divulguée sont ciblés par des acteurs menaçants parrainés par l'État et associés à la République populaire démocratique de Corée via Discord. Ils utilisent un nouveau malware macOS appelé KANDYKORN.

Elastic Security Labs a rapporté que cette activité, remontant à avril 2023, partage des similitudes avec le groupe accusateur bien connu, Lazarus Group. Ces similitudes ont été identifiées en analysant l’infrastructure réseau et les techniques utilisées.

Les chercheurs en sécurité Ricardo Ungureanu, Seth Goodwin et Andrew Pease ont révélé que les acteurs de la menace ont incité les ingénieurs blockchain dotés d'une application Python à obtenir un accès initial à leurs systèmes. Cette intrusion s'est composée de plusieurs étapes complexes, chacune utilisant des techniques délibérées pour éviter d'être détectée.

Le groupe Lazarus a déjà utilisé des logiciels malveillants macOS dans ses attaques. Lors d'un précédent incident survenu plus tôt cette année, ils avaient distribué une application PDF falsifiée qui a finalement conduit au déploiement de RustBucket, une porte dérobée basée sur AppleScript capable de récupérer une charge utile de deuxième étape à partir d'un serveur distant.

Ce qui distingue cette nouvelle campagne, c'est la manière dont les attaquants se font passer pour des ingénieurs blockchain sur un serveur Discord public. Ils utilisent des tactiques d'ingénierie sociale pour inciter les victimes à télécharger et à exécuter une archive ZIP contenant du code malveillant.

Les chercheurs ont expliqué que la victime pensait installer un robot d’arbitrage, un outil logiciel qui pourrait profiter des différences de taux de cryptomonnaie entre les plateformes. Cependant, en réalité, ce processus a ouvert la voie à la livraison de KANDYKORN à travers une procédure en cinq étapes.

Les internes de Kandykorn

KANDYKORN est décrit comme un implant avancé doté de multiples capacités, notamment la surveillance, l'interaction et l'évasion de la détection. Il utilise le chargement réfléchissant, une méthode d'exécution en mémoire directe qui peut contourner les détections de sécurité.

L'attaque commence par un script Python (watcher.py), qui récupère un autre script Python (testSpeed.py) depuis Google Drive. Ce script agit comme un compte-gouttes et récupère un fichier Python supplémentaire à partir d'une URL Google Drive, nommé FinderTools.

FinderTools, à son tour, sert de compte-gouttes, téléchargeant et exécutant une charge utile cachée de deuxième étape appelée SUGARLOADER (/Users/shared/.sld et .log). SUGARLOADER se connecte ensuite à un serveur distant pour récupérer KANDYKORN et l'exécuter directement en mémoire.

SUGARLOADER est également responsable du lancement d'un binaire auto-signé basé sur Swift connu sous le nom de HLOADER, qui tente d'imiter l'application Discord légitime. Il exécute .log (c'est-à-dire SUGARLOADER) pour assurer la persistance en utilisant une technique appelée détournement de flux d'exécution.

KANDYKORN, la charge utile de la dernière étape, est un cheval de Troie d'accès à distance (RAT) résident en mémoire complet avec des capacités intégrées pour l'énumération de fichiers, l'exécution de logiciels malveillants supplémentaires, l'exfiltration de données, l'arrêt de processus et l'exécution de commandes arbitraires.