Kandykorn-malware gekoppeld aan de Noord-Koreaanse hackergroep

Blockchain-ingenieurs van een niet bekendgemaakt cryptocurrency-uitwisselingsplatform worden via Discord het doelwit van door de staat gesponsorde dreigingsactoren die banden hebben met de Democratische Volksrepubliek Korea. Ze gebruiken een nieuwe macOS-malware genaamd KANDYKORN.

Elastic Security Labs meldde dat deze activiteit, die teruggaat tot april 2023, overeenkomsten vertoont met de bekende vijandige groep, Lazarus Group. Deze overeenkomsten werden geïdentificeerd door analyse van de netwerkinfrastructuur en de gebruikte technieken.

Beveiligingsonderzoekers Ricardo Ungureanu, Seth Goodwin en Andrew Pease onthulden dat de bedreigingsactoren blockchain-ingenieurs met een Python-applicatie verleidden om initiële toegang tot hun systemen te krijgen. Deze inbraak bestond uit meerdere ingewikkelde fasen, waarbij elk doelbewuste technieken werden gebruikt om detectie te voorkomen.

De Lazarus Group heeft eerder macOS-malware gebruikt bij zijn aanvallen. Bij een eerder incident eerder dit jaar verspreidden ze een gemanipuleerde PDF-toepassing die uiteindelijk leidde tot de inzet van RustBucket, een op AppleScript gebaseerde achterdeur die een tweede fase van de payload van een externe server kon ophalen.

Wat deze nieuwe campagne onderscheidt, is de manier waarop de aanvallers zich voordoen als blockchain-ingenieurs op een openbare Discord-server. Ze gebruiken social engineering-tactieken om slachtoffers te misleiden zodat ze een ZIP-archief met kwaadaardige code downloaden en uitvoeren.

De onderzoekers legden uit dat het slachtoffer dacht dat ze een arbitragebot installeerden, een softwaretool die zou kunnen profiteren van de verschillen in cryptocurrency-tarieven tussen platforms. In werkelijkheid maakte dit proces echter de weg vrij voor de levering van KANDYKORN via een procedure in vijf fasen.

Kandykorn's interne onderdelen

KANDYKORN wordt beschreven als een geavanceerd implantaat met meerdere mogelijkheden, waaronder monitoring, interactie en het ontwijken van detectie. Het maakt gebruik van reflectief laden, een uitvoeringsmethode in het directe geheugen die beveiligingsdetecties kan omzeilen.

De aanval begint met een Python-script (watcher.py), dat een ander Python-script (testSpeed.py) ophaalt uit Google Drive. Dit script fungeert als een dropper en haalt een extra Python-bestand op van een Google Drive-URL, genaamd FinderTools.

FinderTools dient op zijn beurt als dropper en downloadt en voert een verborgen lading uit de tweede fase uit, genaamd SUGARLOADER (/Users/shared/.sld en .log). SUGARLOADER maakt vervolgens verbinding met een externe server om KANDYKORN op te halen en rechtstreeks in het geheugen uit te voeren.

SUGARLOADER is ook verantwoordelijk voor het lanceren van een Swift-gebaseerd, zelfondertekend binair bestand, bekend als HLOADER, dat probeert de legitieme Discord-applicatie na te bootsen. Het voert .log uit (dwz SUGARLOADER) om persistentie te bereiken met behulp van een techniek die uitvoeringsstroomkaping wordt genoemd.

KANDYKORN, de payload in de laatste fase, is een uitgebreide, in het geheugen aanwezige Remote Access Trojan (RAT) met ingebouwde mogelijkheden voor het opsommen van bestanden, het uitvoeren van aanvullende malware, data-exfiltratie, procesbeëindiging en het uitvoeren van willekeurige opdrachten.