Kandykorn Malware knyttet til den nordkoreanske hackergruppen

Blockchain-ingeniører fra en ikke avslørt kryptovaluta-utvekslingsplattform blir målrettet av statssponsede trusselaktører tilknyttet Den demokratiske folkerepublikken Korea gjennom Discord. De bruker en ny macOS malware kalt KANDYKORN.

Elastic Security Labs rapporterte at denne aktiviteten, som dateres tilbake til april 2023, deler likheter med den velkjente motstandsgruppen Lazarus Group. Disse likhetene ble identifisert ved å analysere nettverksinfrastrukturen og teknikkene som ble brukt.

Sikkerhetsforskere Ricardo Ungureanu, Seth Goodwin og Andrew Pease avslørte at trusselaktørene lokket blokkjedeingeniører med en Python-applikasjon for å få første tilgang til systemene deres. Denne inntrengningen besto av flere intrikate stadier, som hver brukte bevisste teknikker for å unngå oppdagelse.

Lazarus Group har tidligere brukt macOS malware i sine angrep. I en tidligere hendelse tidligere i år distribuerte de en tuklet PDF-applikasjon som til slutt førte til utrullingen av RustBucket, en AppleScript-basert bakdør som er i stand til å hente en nyttelast i andre trinn fra en ekstern server.

Det som skiller denne nye kampanjen er hvordan angriperne etterligner blokkjedeingeniører på en offentlig Discord-server. De bruker sosial ingeniør-taktikk for å lure ofre til å laste ned og kjøre et ZIP-arkiv som inneholder ondsinnet kode.

Forskerne forklarte at offeret trodde de installerte en arbitrage-bot, et programvareverktøy som kunne tjene på kryptovaluta-kursforskjeller mellom plattformer. Men i virkeligheten banet denne prosessen vei for levering av KANDYKORN gjennom en fem-trinns prosedyre.

Kandykorns interne

KANDYKORN beskrives som et avansert implantat med flere funksjoner, inkludert overvåking, interaksjon og unnvikende deteksjon. Den bruker reflekterende lasting, en kjøringsmetode med direkte minne som kan omgå sikkerhetsdeteksjoner.

Angrepet begynner med et Python-skript (watcher.py), som henter et annet Python-skript (testSpeed.py) fra Google Disk. Dette skriptet fungerer som en dropper og henter en ekstra Python-fil fra en Google Disk-URL, kalt FinderTools.

FinderTools fungerer på sin side som en dropper, laster ned og kjører en skjult nyttelast i andre trinn kalt SUGARLOADER (/Users/shared/.sld og .log). SUGARLOADER kobler seg deretter til en ekstern server for å hente KANDYKORN og kjøre den direkte i minnet.

SUGARLOADER er også ansvarlig for å lansere en Swift-basert selvsignert binær, kjent som HLOADER, som forsøker å etterligne den legitime Discord-applikasjonen. Den kjører .log (dvs. SUGARLOADER) for å oppnå utholdenhet ved å bruke en teknikk som kalles execution flow hijacking.

KANDYKORN, den siste nyttelasten, er en omfattende minnebosatt Remote Access Trojan (RAT) med innebygde muligheter for filoppregning, kjøring av ytterligere skadelig programvare, dataeksfiltrering, prosessavslutning og utføring av vilkårlige kommandoer.