Kandykorn 恶意软件与朝鲜黑客组织有关
来自未公开的加密货币交易平台的区块链工程师正成为通过 Discord 与朝鲜民主主义人民共和国相关的国家支持的威胁行为者的目标。他们正在使用一种名为 KANDYKORN 的新 macOS 恶意软件。
Elastic Security Labs 报告称,这一活动可以追溯到 2023 年 4 月,与著名的对抗组织 Lazarus Group 有相似之处。这些相似之处是通过分析所使用的网络基础设施和技术来确定的。
安全研究人员 Ricardo Ungureanu、Seth Goodwin 和 Andrew Pease 透露,威胁行为者利用 Python 应用程序引诱区块链工程师获得对其系统的初始访问权限。这次入侵由多个复杂的阶段组成,每个阶段都利用故意的技术来避免被发现。
Lazarus Group 此前曾在攻击中使用 macOS 恶意软件。在今年早些时候的一次事件中,他们分发了一个被篡改的 PDF 应用程序,最终导致了 RustBucket 的部署,这是一个基于 AppleScript 的后门,能够从远程服务器检索第二阶段有效负载。
这次新活动的与众不同之处在于攻击者如何在公共 Discord 服务器上冒充区块链工程师。他们使用社会工程策略来欺骗受害者下载并执行包含恶意代码的 ZIP 存档。
研究人员解释说,受害者认为他们正在安装一个套利机器人,这是一种可以从平台之间的加密货币汇率差异中获利的软件工具。然而,实际上,这个过程为通过五个阶段的程序交付 KANDYKORN 铺平了道路。
康提科恩的内部结构
KANDYKORN 被描述为一种先进的植入物,具有多种功能,包括监控、交互和逃避检测。它采用反射加载,这是一种可以绕过安全检测的直接内存执行方法。
攻击从 Python 脚本 (watcher.py) 开始,该脚本从 Google Drive 检索另一个 Python 脚本 (testSpeed.py)。该脚本充当释放器,从 Google Drive URL 获取名为 FinderTools 的附加 Python 文件。
FinderTools 反过来充当释放器,下载并执行名为 SUGARLOADER 的隐藏第二阶段有效负载(/Users/shared/.sld 和 .log)。然后,SUGARLOADER 连接到远程服务器以检索 KANDYKORN 并直接在内存中执行。
SUGARLOADER 还负责启动一个基于 Swift 的自签名二进制文件,称为 HLOADER,它试图模仿合法的 Discord 应用程序。它使用称为执行流劫持的技术执行.log(即SUGARLOADER)以实现持久性。
最后阶段的有效负载 KANDYKORN 是一种全面的内存驻留远程访问木马 (RAT),具有文件枚举、运行其他恶意软件、数据泄露、进程终止和执行任意命令的内置功能。