Złośliwe oprogramowanie Kandykorn powiązane z północnokoreańską grupą hakerów

Inżynierowie Blockchain z nieujawnionej platformy wymiany kryptowalut są celem sponsorowanych przez państwo cyberprzestępców powiązanych z Koreańską Republiką Ludowo-Demokratyczną za pośrednictwem Discord. Używają nowego szkodliwego oprogramowania dla systemu macOS o nazwie KANDYKORN.

Elastic Security Labs poinformowało, że aktywność ta, prowadzona od kwietnia 2023 r., jest podobna do dobrze znanej grupy adwersarzy, Lazarus Group. Podobieństwa te zidentyfikowano poprzez analizę infrastruktury sieciowej i stosowanych technik.

Badacze bezpieczeństwa Ricardo Ungureanu, Seth Goodwin i Andrew Pease ujawnili, że cyberprzestępcy wabili inżynierów blockchain za pomocą aplikacji w języku Python, aby uzyskali wstępny dostęp do ich systemów. Włamanie to składało się z wielu skomplikowanych etapów, z których każdy wykorzystywał celowe techniki mające na celu uniknięcie wykrycia.

Grupa Lazarus wykorzystywała już w swoich atakach złośliwe oprogramowanie dla systemu macOS. W poprzednim incydencie na początku tego roku rozesłali zmodyfikowaną aplikację PDF, co ostatecznie doprowadziło do wdrożenia RustBucket, backdoora opartego na AppleScript, zdolnego do pobierania ładunku drugiego etapu ze zdalnego serwera.

To, co wyróżnia tę nową kampanię, to sposób, w jaki napastnicy podszywają się pod inżynierów blockchain na publicznym serwerze Discord. Wykorzystują taktykę inżynierii społecznej, aby oszukać ofiary w celu pobrania i uruchomienia archiwum ZIP zawierającego złośliwy kod.

Badacze wyjaśnili, że ofiara wierzyła, że instaluje bota arbitrażowego, narzędzie programowe, które może czerpać korzyści z różnic w kursach kryptowalut między platformami. Jednak w rzeczywistości proces ten utorował drogę do dostarczenia KANDYKORN w pięcioetapowej procedurze.

Wnętrze Kandykorna

KANDYKORN jest opisywany jako zaawansowany implant posiadający wiele możliwości, w tym monitorowanie, interakcję i unikanie wykrycia. Wykorzystuje ładowanie refleksyjne, metodę wykonywania z pamięcią bezpośrednią, która może ominąć wykrycia bezpieczeństwa.

Atak rozpoczyna się od skryptu Pythona (watcher.py), który pobiera inny skrypt Pythona (testSpeed.py) z Dysku Google. Ten skrypt działa jak dropper i pobiera dodatkowy plik Pythona z adresu URL Dysku Google o nazwie FinderTools.

FinderTools z kolei służy jako dropper, pobierający i wykonujący ukryty ładunek drugiego etapu o nazwie SUGARLOADER (/Users/shared/.sld i .log). Następnie SUGARLOADER łączy się ze zdalnym serwerem, aby pobrać KANDYKORN i wykonać go bezpośrednio w pamięci.

SUGARLOADER jest również odpowiedzialny za uruchomienie samopodpisanego pliku binarnego opartego na Swift, znanego jako HLOADER, który próbuje naśladować legalną aplikację Discord. Wykonuje .log (tj. SUGARLOADER), aby osiągnąć trwałość, używając techniki zwanej przejmowaniem przepływu wykonywania.

KANDYKORN, ładunek końcowego etapu, to kompleksowy trojan zdalnego dostępu (RAT) rezydentny w pamięci z wbudowanymi funkcjami wyliczania plików, uruchamiania dodatkowego złośliwego oprogramowania, eksfiltracji danych, kończenia procesów i wykonywania dowolnych poleceń.