Kandykorn Malware kopplad till North Korean Hacker Group

Blockchain-ingenjörer från en hemlig plattform för utbyte av kryptovaluta är måltavla av statligt sponsrade hotaktörer associerade med Demokratiska Folkrepubliken Korea genom Discord. De använder en ny macOS malware som heter KANDYKORN.

Elastic Security Labs rapporterade att denna aktivitet, som går tillbaka till april 2023, delar likheter med den välkända motståndsgruppen Lazarus Group. Dessa likheter identifierades genom att analysera nätverksinfrastrukturen och de använda teknikerna.

Säkerhetsforskarna Ricardo Ungureanu, Seth Goodwin och Andrew Pease avslöjade att hotaktörerna lockade blockkedjeingenjörer med en Python-applikation för att få första åtkomst till sina system. Detta intrång bestod av flera intrikata steg, var och en med avsiktliga tekniker för att undvika upptäckt.

Lazarus Group har tidigare använt macOS malware i sina attacker. I en tidigare incident tidigare i år distribuerade de en manipulerad PDF-applikation som i slutändan ledde till utplaceringen av RustBucket, en AppleScript-baserad bakdörr som kan hämta en nyttolast i andra steg från en fjärrserver.

Det som skiljer den här nya kampanjen åt är hur angriparna imiterar blockchain-ingenjörer på en offentlig Discord-server. De använder social ingenjörsteknik för att lura offer att ladda ner och köra ett ZIP-arkiv som innehåller skadlig kod.

Forskarna förklarade att offret trodde att de installerade en arbitrage-bot, ett mjukvaruverktyg som kan dra nytta av skillnader i kryptovaluta mellan plattformar. Men i verkligheten banade denna process vägen för leveransen av KANDYKORN genom en procedur i fem steg.

Kandykorns interner

KANDYKORN beskrivs som ett avancerat implantat med flera funktioner, inklusive övervakning, interaktion och undvikande av upptäckt. Den använder reflekterande laddning, en exekveringsmetod med direktminne som kan kringgå säkerhetsdetekteringar.

Attacken börjar med ett Python-skript (watcher.py), som hämtar ett annat Python-skript (testSpeed.py) från Google Drive. Det här skriptet fungerar som en droppe och hämtar ytterligare en Python-fil från en Google Drive-URL, som heter FinderTools.

FinderTools, i sin tur, fungerar som en droppare, laddar ner och kör en dold nyttolast i andra steget som kallas SUGARLOADER (/Users/shared/.sld och .log). SUGARLOADER ansluter sedan till en fjärrserver för att hämta KANDYKORN och köra den direkt i minnet.

SUGARLOADER är också ansvarig för att lansera en Swift-baserad självsignerad binär känd som HLOADER, som försöker efterlikna den legitima Discord-applikationen. Den kör .log (dvs. SUGARLOADER) för att uppnå uthållighet med en teknik som kallas execution flow kaping.

KANDYKORN, slutskedets nyttolast, är en omfattande minnesinbyggd Remote Access Trojan (RAT) med inbyggda möjligheter för filuppräkning, körning av ytterligare skadlig programvara, dataexfiltrering, processavslutning och exekvering av godtyckliga kommandon.