Kandykorn 惡意軟體與北韓駭客組織有關

來自未公開的加密貨幣交易平台的區塊鏈工程師正成為透過 Discord 與朝鮮民主主義人民共和國相關的國家支持的威脅行為者的目標。他們正在使用一種名為 KANDYKORN 的新 macOS 惡意軟體。

Elastic Security Labs 報告稱，這項活動可以追溯到 2023 年 4 月，與著名的對抗組織 Lazarus Group 有相似之處。這些相似之處是透過分析所使用的網路基礎設施和技術來確定的。

安全研究人員 Ricardo Ungureanu、Seth Goodwin 和 Andrew Pease 透露，威脅行為者利用 Python 應用程式引誘區塊鏈工程師獲得對其係統的初始存取權限。這次入侵由多個複雜的階段組成，每個階段都利用故意的技術來避免被發現。

Lazarus Group 先前曾在攻擊中使用 macOS 惡意軟體。在今年早些時候的一次事件中，他們分發了一個被篡改的 PDF 應用程序，最終導致了 RustBucket 的部署，這是一個基於 AppleScript 的後門，能夠從遠端伺服器檢索第二階段有效負載。

這次新活動的與眾不同之處在於攻擊者如何在公共 Discord 伺服器上冒充區塊鏈工程師。他們使用社會工程策略來欺騙受害者下載並執行包含惡意程式碼的 ZIP 檔案。

研究人員解釋說，受害者認為他們正在安裝一個套利機器人，這是一種可以從平台之間的加密貨幣匯率差異中獲利的軟體工具。然而，實際上，這個過程為透過五個階段的程序交付 KANDYKORN 鋪平了道路。

康提科恩的內部結構

KANDYKORN 被描述為一種先進的植入物，具有多種功能，包括監控、互動和逃脫偵測。它採用反射加載，這是一種可以繞過安全檢測的直接記憶體執行方法。

攻擊從 Python 腳本 (watcher.py) 開始，該腳本從 Google Drive 檢索另一個 Python 腳本 (testSpeed.py)。該腳本充當釋放器，從 Google Drive URL 獲取名為 FinderTools 的附加 Python 檔案。

FinderTools 反過來充當釋放器，下載並執行名為 SUGARLOADER 的隱藏第二階段有效負載（/Users/shared/.sld 和 .log）。然後，SUGARLOADER 連接到遠端伺服器以擷取 KANDYKORN 並直接在記憶體中執行。

SUGARLOADER 還負責啟動一個基於 Swift 的自簽名二進位文件，稱為 HLOADER，它試圖模仿合法的 Discord 應用程式。它使用稱為執行流劫持的技術執行.log（即SUGARLOADER）以實現持久性。

最後階段的有效負載 KANDYKORN 是一種全面的記憶體駐留遠端存取木馬 (RAT)，具有檔案枚舉、運行其他惡意軟體、資料外洩、進程終止和執行任意命令的內建功能。