Malware Kandykorn collegato al gruppo hacker nordcoreano

Gli ingegneri blockchain di una piattaforma di scambio di criptovaluta non divulgata vengono presi di mira da attori di minacce sponsorizzate dallo stato associati alla Repubblica popolare democratica di Corea attraverso Discord. Stanno usando un nuovo malware macOS chiamato KANDYKORN.

Elastic Security Labs ha riferito che questa attività, risalente all'aprile 2023, condivide somiglianze con il noto gruppo avversario Lazarus Group. Queste somiglianze sono state identificate analizzando l'infrastruttura di rete e le tecniche impiegate.

I ricercatori di sicurezza Ricardo Ungureanu, Seth Goodwin e Andrew Pease hanno rivelato che gli autori delle minacce hanno attirato gli ingegneri blockchain con un'applicazione Python per ottenere l'accesso iniziale ai loro sistemi. Questa intrusione consisteva in più fasi complesse, ciascuna delle quali utilizzava tecniche deliberate per evitare il rilevamento.

Il gruppo Lazarus ha già utilizzato malware macOS nei suoi attacchi. In un precedente incidente all’inizio di quest’anno, hanno distribuito un’applicazione PDF manomessa che alla fine ha portato all’implementazione di RustBucket, una backdoor basata su AppleScript in grado di recuperare un payload di seconda fase da un server remoto.

Ciò che distingue questa nuova campagna è il modo in cui gli aggressori si spacciano per ingegneri blockchain su un server Discord pubblico. Usano tattiche di ingegneria sociale per indurre le vittime a scaricare ed eseguire un archivio ZIP contenente codice dannoso.

I ricercatori hanno spiegato che la vittima credeva che stessero installando un bot di arbitraggio, uno strumento software che poteva trarre profitto dalle differenze di tasso di criptovaluta tra le piattaforme. Tuttavia, in realtà, questo processo ha aperto la strada alla consegna di KANDYKORN attraverso una procedura in cinque fasi.

Interni di Kandykorn

KANDYKORN è descritto come un impianto avanzato con molteplici capacità, tra cui il monitoraggio, l'interazione e l'elusione del rilevamento. Utilizza il caricamento riflettente, un metodo di esecuzione della memoria diretta in grado di aggirare i rilevamenti di sicurezza.

L'attacco inizia con uno script Python (watcher.py), che recupera un altro script Python (testSpeed.py) da Google Drive. Questo script funge da contagocce e recupera un file Python aggiuntivo da un URL di Google Drive, denominato FinderTools.

FinderTools, a sua volta, funge da dropper, scaricando ed eseguendo un payload nascosto di seconda fase chiamato SUGARLOADER (/Users/shared/.sld e .log). SUGARLOADER si connette quindi a un server remoto per recuperare KANDYKORN ed eseguirlo direttamente in memoria.

SUGARLOADER è anche responsabile del lancio di un binario autofirmato basato su Swift noto come HLOADER, che tenta di imitare l'applicazione legittima Discord. Esegue .log (ovvero SUGARLOADER) per ottenere la persistenza utilizzando una tecnica chiamata dirottamento del flusso di esecuzione.

KANDYKORN, il payload della fase finale, è un Trojan di accesso remoto (RAT) residente in memoria completo con funzionalità integrate per l'enumerazione dei file, l'esecuzione di malware aggiuntivo, l'esfiltrazione di dati, la terminazione dei processi e l'esecuzione di comandi arbitrari.