Kandykorn マルウェアは北朝鮮のハッカーグループに関連している
未公開の暗号通貨交換プラットフォームのブロックチェーン エンジニアが、Discord を通じて朝鮮民主主義人民共和国に関連する国家支援の攻撃者によって標的にされています。彼らは、KANDYKORN と呼ばれる新しい macOS マルウェアを使用しています。
Elastic Security Labs は、この活動は 2023 年 4 月に遡り、有名な敵対的グループである Lazarus Group と類似点があると報告しました。これらの類似点は、使用されているネットワーク インフラストラクチャと技術を分析することによって特定されました。
セキュリティ研究者のリカルド・ウングレアヌ氏、セス・グッドウィン氏、アンドリュー・ピーズ氏は、攻撃者がPythonアプリケーションを使ってブロックチェーンエンジニアを誘惑し、システムへの初期アクセスを取得させたことを明らかにした。この侵入は複数の複雑な段階で構成されており、それぞれの段階で検出を回避するための意図的な手法が利用されています。
Lazarus Group は以前、攻撃に macOS マルウェアを使用しました。今年初めの以前のインシデントでは、彼らは改ざんされた PDF アプリケーションを配布し、最終的にはリモート サーバーから第 2 段階のペイロードを取得できる AppleScript ベースのバックドアである RustBucket の導入につながりました。
この新しいキャンペーンの特徴は、攻撃者がパブリック Discord サーバー上でブロックチェーン エンジニアになりすます方法です。彼らはソーシャル エンジニアリング戦術を使用して、被害者をだまして悪意のあるコードを含む ZIP アーカイブをダウンロードして実行させます。
研究者らは、被害者がアービトラージボット(プラットフォーム間の仮想通貨レートの違いから利益を得られるソフトウェアツール)をインストールしていると信じていたと説明した。しかし、実際には、このプロセスは 5 段階の手順を経て、KANDYKORN の納品への道を開きました。
キャンディコーンの内部構造
KANDYKORN は、監視、相互作用、検出回避などの複数の機能を備えた高度なインプラントとして説明されています。これは、セキュリティ検出をバイパスできるメモリ直接実行方法であるリフレクティブ ローディングを採用しています。
攻撃は Python スクリプト (watcher.py) から始まり、Google ドライブから別の Python スクリプト (testSpeed.py) を取得します。このスクリプトはドロッパーとして機能し、FinderTools という名前の追加の Python ファイルを Google ドライブ URL から取得します。
FinderTools はドロッパーとして機能し、SUGARLOADER (/Users/shared/.sld および .log) と呼ばれる非表示の第 2 段階ペイロードをダウンロードして実行します。次に、SUGARLOADER はリモート サーバーに接続して KANDYKORN を取得し、メモリ内で直接実行します。
SUGARLOADER は、正規の Discord アプリケーションを模倣しようとする、HLOADER として知られる Swift ベースの自己署名バイナリの起動も担当します。実行フローハイジャックと呼ばれる手法を使用して永続性を実現するために、.log (つまり SUGARLOADER) を実行します。
最終段階のペイロードである KANDYKORN は、ファイルの列挙、追加のマルウェアの実行、データの引き出し、プロセスの終了、および任意のコマンドの実行の機能が組み込まれた、包括的なメモリ常駐型のリモート アクセス トロイの木馬 (RAT) です。