Kandykorn kártevő, amely az észak-koreai hackercsoporthoz kapcsolódik
Egy nyilvánosságra nem hozott kriptovaluta csereplatform blokklánc-mérnökei a Koreai Népi Demokratikus Köztársasággal kapcsolatban álló, államilag támogatott fenyegetési szereplők célpontjai a Discord révén. Egy új, KANDYKORN nevű macOS kártevőt használnak.
Az Elastic Security Labs arról számolt be, hogy ez a tevékenység, amely 2023 áprilisáig nyúlik vissza, hasonlóságot mutat a jól ismert ellenséges csoporttal, a Lazarus Grouppal. Ezeket a hasonlóságokat a hálózati infrastruktúra és az alkalmazott technikák elemzésével azonosították.
Ricardo Ungureanu, Seth Goodwin és Andrew Pease biztonsági kutatók felfedték, hogy a fenyegetés szereplői egy Python-alkalmazással csábították el a blokklánc-mérnököket, hogy hozzáférjenek rendszereikhez. Ez a behatolás több bonyolult szakaszból állt, amelyek mindegyike szándékos technikákat használt az észlelés elkerülésére.
A Lazarus Group korábban macOS kártevőket is alkalmazott támadásai során. Egy korábbi, az év elején történt incidens során egy manipulált PDF-alkalmazást terjesztettek, ami végül a RustBucket, egy AppleScript-alapú hátsó ajtó telepítéséhez vezetett, amely képes lekérni egy távoli szerverről a második szakaszban lévő hasznos adatokat.
Az új kampányt az különbözteti meg egymástól, ahogyan a támadók blokklánc-mérnököknek adják ki magukat egy nyilvános Discord szerveren. Társadalmi tervezési taktikákat alkalmaznak, hogy megtévesszék az áldozatokat, hogy letöltsenek és végrehajtsanak egy rosszindulatú kódot tartalmazó ZIP-archívumot.
A kutatók elmagyarázták, hogy az áldozat azt hitte, hogy egy arbitrázsbotot telepítenek, egy olyan szoftvereszközt, amely profitálhat a platformok közötti kriptovaluta-árfolyam-különbségekből. A valóságban azonban ez a folyamat megnyitotta az utat a KANDYKORN ötlépcsős eljáráson keresztül történő szállításához.
Kandykorn belsőségei
A KANDYKORN-t fejlett implantátumként írják le, amely többféle képességgel rendelkezik, beleértve a megfigyelést, az interakciót és az észlelés elkerülését. Reflexiós betöltést alkalmaz, egy közvetlen memóriás végrehajtási módszert, amely képes megkerülni a biztonsági észleléseket.
A támadás egy Python-szkripttel (watcher.py) kezdődik, amely egy másik Python-szkriptet (testSpeed.py) kér le a Google Drive-ról. Ez a szkript csepegtetőként működik, és lekér egy további Python-fájlt a Google Drive URL-jéről, FinderTools néven.
A FinderTools viszont dropperként szolgál, letölti és végrehajtja a SUGARLOADER (/Users/shared/.sld és .log) nevű rejtett, második fázisú hasznos terhet. A SUGARLOADER ezután csatlakozik egy távoli kiszolgálóhoz, hogy lekérje a KANDYKORN-t, és közvetlenül a memóriában hajtsa végre.
A SUGARLOADER felelős egy Swift-alapú önaláírt bináris, HLOADER néven történő elindításáért is, amely megpróbálja utánozni a legitim Discord alkalmazást. A .log fájlt (azaz SUGARLOADER-t) hajtja végre, hogy a végrehajtási folyamat-eltérítésnek nevezett technikával elérje a tartósságot.
A KANDYKORN, az utolsó szakasz hasznos adata, egy átfogó memóriában rezidens távelérési trójai (RAT), amely beépített képességekkel rendelkezik a fájlok felsorolására, további rosszindulatú programok futtatására, adatok kiszűrésére, folyamatleállításra és tetszőleges parancsok végrehajtására.