Kandykorn 惡意軟體與北韓駭客組織有關
來自未公開的加密貨幣交易平台的區塊鏈工程師正成為透過 Discord 與朝鮮民主主義人民共和國相關的國家支持的威脅行為者的目標。他們正在使用一種名為 KANDYKORN 的新 macOS 惡意軟體。
Elastic Security Labs 報告稱,這項活動可以追溯到 2023 年 4 月,與著名的對抗組織 Lazarus Group 有相似之處。這些相似之處是透過分析所使用的網路基礎設施和技術來確定的。
安全研究人員 Ricardo Ungureanu、Seth Goodwin 和 Andrew Pease 透露,威脅行為者利用 Python 應用程式引誘區塊鏈工程師獲得對其係統的初始存取權限。這次入侵由多個複雜的階段組成,每個階段都利用故意的技術來避免被發現。
Lazarus Group 先前曾在攻擊中使用 macOS 惡意軟體。在今年早些時候的一次事件中,他們分發了一個被篡改的 PDF 應用程序,最終導致了 RustBucket 的部署,這是一個基於 AppleScript 的後門,能夠從遠端伺服器檢索第二階段有效負載。
這次新活動的與眾不同之處在於攻擊者如何在公共 Discord 伺服器上冒充區塊鏈工程師。他們使用社會工程策略來欺騙受害者下載並執行包含惡意程式碼的 ZIP 檔案。
研究人員解釋說,受害者認為他們正在安裝一個套利機器人,這是一種可以從平台之間的加密貨幣匯率差異中獲利的軟體工具。然而,實際上,這個過程為透過五個階段的程序交付 KANDYKORN 鋪平了道路。
康提科恩的內部結構
KANDYKORN 被描述為一種先進的植入物,具有多種功能,包括監控、互動和逃脫偵測。它採用反射加載,這是一種可以繞過安全檢測的直接記憶體執行方法。
攻擊從 Python 腳本 (watcher.py) 開始,該腳本從 Google Drive 檢索另一個 Python 腳本 (testSpeed.py)。該腳本充當釋放器,從 Google Drive URL 獲取名為 FinderTools 的附加 Python 檔案。
FinderTools 反過來充當釋放器,下載並執行名為 SUGARLOADER 的隱藏第二階段有效負載(/Users/shared/.sld 和 .log)。然後,SUGARLOADER 連接到遠端伺服器以擷取 KANDYKORN 並直接在記憶體中執行。
SUGARLOADER 還負責啟動一個基於 Swift 的自簽名二進位文件,稱為 HLOADER,它試圖模仿合法的 Discord 應用程式。它使用稱為執行流劫持的技術執行.log(即SUGARLOADER)以實現持久性。
最後階段的有效負載 KANDYKORN 是一種全面的記憶體駐留遠端存取木馬 (RAT),具有檔案枚舉、運行其他惡意軟體、資料外洩、進程終止和執行任意命令的內建功能。