Kandykorn kártevő, amely az észak-koreai hackercsoporthoz kapcsolódik

Egy nyilvánosságra nem hozott kriptovaluta csereplatform blokklánc-mérnökei a Koreai Népi Demokratikus Köztársasággal kapcsolatban álló, államilag támogatott fenyegetési szereplők célpontjai a Discord révén. Egy új, KANDYKORN nevű macOS kártevőt használnak.

Az Elastic Security Labs arról számolt be, hogy ez a tevékenység, amely 2023 áprilisáig nyúlik vissza, hasonlóságot mutat a jól ismert ellenséges csoporttal, a Lazarus Grouppal. Ezeket a hasonlóságokat a hálózati infrastruktúra és az alkalmazott technikák elemzésével azonosították.

Ricardo Ungureanu, Seth Goodwin és Andrew Pease biztonsági kutatók felfedték, hogy a fenyegetés szereplői egy Python-alkalmazással csábították el a blokklánc-mérnököket, hogy hozzáférjenek rendszereikhez. Ez a behatolás több bonyolult szakaszból állt, amelyek mindegyike szándékos technikákat használt az észlelés elkerülésére.

A Lazarus Group korábban macOS kártevőket is alkalmazott támadásai során. Egy korábbi, az év elején történt incidens során egy manipulált PDF-alkalmazást terjesztettek, ami végül a RustBucket, egy AppleScript-alapú hátsó ajtó telepítéséhez vezetett, amely képes lekérni egy távoli szerverről a második szakaszban lévő hasznos adatokat.

Az új kampányt az különbözteti meg egymástól, ahogyan a támadók blokklánc-mérnököknek adják ki magukat egy nyilvános Discord szerveren. Társadalmi tervezési taktikákat alkalmaznak, hogy megtévesszék az áldozatokat, hogy letöltsenek és végrehajtsanak egy rosszindulatú kódot tartalmazó ZIP-archívumot.

A kutatók elmagyarázták, hogy az áldozat azt hitte, hogy egy arbitrázsbotot telepítenek, egy olyan szoftvereszközt, amely profitálhat a platformok közötti kriptovaluta-árfolyam-különbségekből. A valóságban azonban ez a folyamat megnyitotta az utat a KANDYKORN ötlépcsős eljáráson keresztül történő szállításához.

Kandykorn belsőségei

A KANDYKORN-t fejlett implantátumként írják le, amely többféle képességgel rendelkezik, beleértve a megfigyelést, az interakciót és az észlelés elkerülését. Reflexiós betöltést alkalmaz, egy közvetlen memóriás végrehajtási módszert, amely képes megkerülni a biztonsági észleléseket.

A támadás egy Python-szkripttel (watcher.py) kezdődik, amely egy másik Python-szkriptet (testSpeed.py) kér le a Google Drive-ról. Ez a szkript csepegtetőként működik, és lekér egy további Python-fájlt a Google Drive URL-jéről, FinderTools néven.

A FinderTools viszont dropperként szolgál, letölti és végrehajtja a SUGARLOADER (/Users/shared/.sld és .log) nevű rejtett, második fázisú hasznos terhet. A SUGARLOADER ezután csatlakozik egy távoli kiszolgálóhoz, hogy lekérje a KANDYKORN-t, és közvetlenül a memóriában hajtsa végre.

A SUGARLOADER felelős egy Swift-alapú önaláírt bináris, HLOADER néven történő elindításáért is, amely megpróbálja utánozni a legitim Discord alkalmazást. A .log fájlt (azaz SUGARLOADER-t) hajtja végre, hogy a végrehajtási folyamat-eltérítésnek nevezett technikával elérje a tartósságot.

A KANDYKORN, az utolsó szakasz hasznos adata, egy átfogó memóriában rezidens távelérési trójai (RAT), amely beépített képességekkel rendelkezik a fájlok felsorolására, további rosszindulatú programok futtatására, adatok kiszűrésére, folyamatleállításra és tetszőleges parancsok végrehajtására.