Kandykorn 恶意软件与朝鲜黑客组织有关

来自未公开的加密货币交易平台的区块链工程师正成为通过 Discord 与朝鲜民主主义人民共和国相关的国家支持的威胁行为者的目标。他们正在使用一种名为 KANDYKORN 的新 macOS 恶意软件。

Elastic Security Labs 报告称，这一活动可以追溯到 2023 年 4 月，与著名的对抗组织 Lazarus Group 有相似之处。这些相似之处是通过分析所使用的网络基础设施和技术来确定的。

安全研究人员 Ricardo Ungureanu、Seth Goodwin 和 Andrew Pease 透露，威胁行为者利用 Python 应用程序引诱区块链工程师获得对其系统的初始访问权限。这次入侵由多个复杂的阶段组成，每个阶段都利用故意的技术来避免被发现。

Lazarus Group 此前曾在攻击中使用 macOS 恶意软件。在今年早些时候的一次事件中，他们分发了一个被篡改的 PDF 应用程序，最终导致了 RustBucket 的部署，这是一个基于 AppleScript 的后门，能够从远程服务器检索第二阶段有效负载。

这次新活动的与众不同之处在于攻击者如何在公共 Discord 服务器上冒充区块链工程师。他们使用社会工程策略来欺骗受害者下载并执行包含恶意代码的 ZIP 存档。

研究人员解释说，受害者认为他们正在安装一个套利机器人，这是一种可以从平台之间的加密货币汇率差异中获利的软件工具。然而，实际上，这个过程为通过五个阶段的程序交付 KANDYKORN 铺平了道路。

康提科恩的内部结构

KANDYKORN 被描述为一种先进的植入物，具有多种功能，包括监控、交互和逃避检测。它采用反射加载，这是一种可以绕过安全检测的直接内存执行方法。

攻击从 Python 脚本 (watcher.py) 开始，该脚本从 Google Drive 检索另一个 Python 脚本 (testSpeed.py)。该脚本充当释放器，从 Google Drive URL 获取名为 FinderTools 的附加 Python 文件。

FinderTools 反过来充当释放器，下载并执行名为 SUGARLOADER 的隐藏第二阶段有效负载（/Users/shared/.sld 和 .log）。然后，SUGARLOADER 连接到远程服务器以检索 KANDYKORN 并直接在内存中执行。

SUGARLOADER 还负责启动一个基于 Swift 的自签名二进制文件，称为 HLOADER，它试图模仿合法的 Discord 应用程序。它使用称为执行流劫持的技术执行.log（即SUGARLOADER）以实现持久性。

最后阶段的有效负载 KANDYKORN 是一种全面的内存驻留远程访问木马 (RAT)，具有文件枚举、运行其他恶意软件、数据泄露、进程终止和执行任意命令的内置功能。