Kandykorn kenkėjiška programa, susijusi su Šiaurės Korėjos įsilaužėlių grupe

„Blockchain“ inžinieriai iš neatskleidžiamos kriptovaliutų keitimo platformos yra nukreipti valstybės remiamų grėsmių subjektų, susijusių su Korėjos Liaudies Demokratine Respublika per „Discord“. Jie naudoja naują „MacOS“ kenkėjišką programą, pavadintą KANDYKORN.

„Elastic Security Labs“ pranešė, kad ši veikla, pradėta 2023 m. balandžio mėn., turi panašumų su gerai žinoma priešininkų grupe „Lazarus Group“. Šie panašumai buvo nustatyti išanalizavus tinklo infrastruktūrą ir naudojamus metodus.

Saugumo tyrinėtojai Ricardo Ungureanu, Sethas Goodwinas ir Andrew Pease'as atskleidė, kad grėsmės veikėjai suviliojo „blockchain“ inžinierius „Python“ programa, kad gautų pradinę prieigą prie savo sistemų. Šis įsibrovimas susideda iš kelių sudėtingų etapų, kurių kiekvienas panaudojo apgalvotus metodus, kad būtų išvengta aptikimo.

„Lazarus Group“ anksčiau savo atakose naudojo „macOS“ kenkėjiškas programas. Ankstesniame incidente šiais metais jie išplatino sugadintą PDF programą, dėl kurios galiausiai buvo įdiegta „RustBucket“ – „AppleScript“ pagrindu sukurta galinė dalis, galinti nuskaityti antrosios pakopos naudingąją apkrovą iš nuotolinio serverio.

Šią naują kampaniją išskiria tai, kaip užpuolikai apsimeta „blockchain“ inžinieriais viešame „Discord“ serveryje. Jie naudoja socialinės inžinerijos taktiką, kad apgautų aukas, kad jos atsisiųstų ir paleistų ZIP archyvą su kenkėjišku kodu.

Tyrėjai paaiškino, kad auka manė, kad diegia arbitražo robotą – programinės įrangos įrankį, galintį pasipelnyti iš kriptovaliutų kursų skirtumų tarp platformų. Tačiau iš tikrųjų šis procesas atvėrė kelią KANDYKORN pristatymui per penkių etapų procedūrą.

Kandykorno vidiniai elementai

KANDYKORN apibūdinamas kaip pažangus implantas, turintis daugybę galimybių, įskaitant stebėjimą, sąveiką ir aptikimo išvengimą. Jame naudojamas atspindintis įkėlimas, tiesioginės atminties vykdymo metodas, galintis apeiti saugos aptikimus.

Ataka prasideda Python scenarijumi (watcher.py), kuris nuskaito kitą Python scenarijų (testSpeed.py) iš Google disko. Šis scenarijus veikia kaip lašintuvas ir paima papildomą Python failą iš „Google“ disko URL, pavadintą FinderTools.

„FinderTools“, savo ruožtu, veikia kaip lašintuvas, atsisiunčiamas ir vykdomas paslėptas antrojo etapo naudingasis krovinys, vadinamas SUGARLOADER (/Users/shared/.sld ir .log). Tada SUGARLOADER prisijungia prie nuotolinio serverio, kad gautų KANDYKORN ir paleistų jį tiesiogiai atmintyje.

SUGARLOADER taip pat yra atsakingas už „Swift“ pagrindu pasirašyto dvejetainio failo, žinomo kaip HLOADER, paleidimą, kuris bando imituoti teisėtą „Discord“ programą. Jis vykdo .log (ty SUGARLOADER), kad pasiektų atkaklumą, naudodamas techniką, vadinamą vykdymo srauto užgrobimu.

KANDYKORN, paskutinės pakopos naudingoji apkrova, yra visapusiškas atmintyje esantis nuotolinės prieigos Trojos arklys (RAT) su integruotomis failų surašymo, papildomos kenkėjiškos programinės įrangos paleidimo, duomenų išfiltravimo, proceso nutraukimo ir savavališkų komandų vykdymo galimybėmis.