Вредоносное ПО Kandykorn связано с северокорейской хакерской группой

Инженеры блокчейна из нераскрытой платформы обмена криптовалютами подвергаются нападкам со стороны спонсируемых государством злоумышленников, связанных с Корейской Народно-Демократической Республикой, через Discord. Они используют новое вредоносное ПО для macOS под названием KANDYKORN.

В компании Elastic Security Labs сообщили, что эта деятельность, начавшаяся в апреле 2023 года, имеет сходство с известной злоумышленной группировкой Lazarus Group. Эти сходства были выявлены путем анализа сетевой инфраструктуры и используемых методов.

Исследователи безопасности Рикардо Унгуреану, Сет Гудвин и Эндрю Пиз показали, что злоумышленники соблазнили инженеров блокчейна с помощью приложения Python, чтобы получить первоначальный доступ к их системам. Это вторжение состояло из нескольких сложных этапов, на каждом из которых использовались продуманные методы, позволяющие избежать обнаружения.

Группа Lazarus ранее использовала в своих атаках вредоносное ПО для macOS. В ходе предыдущего инцидента в начале этого года они распространили подделанное PDF-приложение, что в конечном итоге привело к развертыванию RustBucket, бэкдора на основе AppleScript, способного получать полезную нагрузку второго этапа с удаленного сервера.

Что отличает эту новую кампанию, так это то, как злоумышленники выдают себя за инженеров блокчейна на общедоступном сервере Discord. Они используют тактику социальной инженерии, чтобы обманом заставить жертв загрузить и запустить ZIP-архив, содержащий вредоносный код.

Исследователи объяснили, что жертва считала, что они устанавливают арбитражного бота, программный инструмент, который может получать прибыль от разницы в курсах криптовалют между платформами. Однако на самом деле этот процесс проложил путь к доставке KANDYKORN через пятиэтапную процедуру.

Внутренности Кандикорна

КАНДИКОРН описывается как усовершенствованный имплантат с множеством возможностей, включая мониторинг, взаимодействие и уклонение от обнаружения. Он использует рефлексивную загрузку, метод выполнения с прямой памятью, который может обходить обнаружения безопасности.

Атака начинается со скрипта Python (watcher.py), который извлекает другой скрипт Python (testSpeed.py) с Google Диска. Этот скрипт действует как дроппер и извлекает дополнительный файл Python с URL-адреса Google Диска с именем FinderTools.

FinderTools, в свою очередь, выполняет роль дроппера, загружая и выполняя скрытую полезную нагрузку второго этапа под названием SUGARLOADER (/Users/shared/.sld и .log). Затем SUGARLOADER подключается к удаленному серверу, чтобы получить KANDYKORN и выполнить его непосредственно в памяти.

SUGARLOADER также отвечает за запуск самозаверяющего двоичного файла на основе Swift, известного как HLOADER, который пытается имитировать законное приложение Discord. Он выполняет .log (т. е. SUGARLOADER) для обеспечения устойчивости, используя технику, называемую перехватом потока выполнения.

KANDYKORN, полезная нагрузка последней стадии, представляет собой комплексный резидентный троян удаленного доступа (RAT) со встроенными возможностями перечисления файлов, запуска дополнительных вредоносных программ, хищения данных, завершения процессов и выполнения произвольных команд.