Sponsorowani przez państwo północnokoreańscy hakerzy zaatakowali inżynierów blockchain z anonimowej giełdy kryptowalut za pośrednictwem Discord. Deweloperzy ci byli celem nowego szkodliwego oprogramowania dla systemu macOS znanego jako KANDYKORN.
Wedługraportprzez badaczy cyberbezpieczeństwa Ricardo Ungureanu, Setha Goodwina i Andrew Pease’a cyberprzestępcy zwabili inżynierów blockchain za pomocą aplikacji Python, aby zabezpieczyć początkowy dostęp do środowiska hakerskiego.
Naukowcy potwierdzili,
„To wtargnięcie obejmowało wiele złożonych etapów, z których każdy wykorzystywał techniki celowego unikania obrony”
Grupa Lazarus wprowadza złośliwe oprogramowanie dla systemu MacOS przeciwko inżynierom Blockchain
To nie pierwszy raz, kiedy Grupa Lazarus wykorzystuje szkodliwe oprogramowanie dla systemu macOS do prowadzenia kampanii hakerskich.
Na początku tego roku wykryto, że grupa ugrupowań zagrażających rozpowszechniała aplikację PDF z backdoorem, co doprowadziło do wdrożenia RustBucket. RustBucket to backdoor oparty na AppleScript. Backdoor służy do pobierania ładunku drugiego etapu ze zdalnych serwerów.
Ta kampania hakerska jest wyjątkowa ze względu na sposób, w jaki cyberprzestępcy podszywali się pod inżynierów blockchain na publicznym serwerze Discord. Hakerzy wykorzystali również techniki socjotechniki, aby nakłonić ofiary do pobrania i uruchomienia archiwum ZIP zawierającego złośliwy kod.
Badacze stwierdzili, że ofiary zostały oszukane i zainstalowały arbitralnego bota. Handlarze kryptowalutami używają tego bota, aby czerpać korzyści z różnic w kursach kryptowalut między platformami.
Naukowcy zauważyli,
KANDYKORN to zaawansowany implant oferujący różne możliwości monitorowania, interakcji i unikania wykrycia. Wykorzystuje ładowanie odblaskowe, formę wykonania z pamięcią bezpośrednią, która może ominąć wykrycie.
Złośliwe oprogramowaniezaczyna się od skryptu w języku Python, który pobiera inny skrypt w języku Python hostowany na Dysku Google. Dropper zbiera jeszcze jeden plik Pythona z adresu URL Dysku Google, znanego jako FinderTools.
FinderTools działa również jak dropper, umożliwiając pobieranie i uruchamianie ukrytego ładunku drugiego etapu, znanego jako SUGARLOADER. Ten ładunek połączy się ze zdalnym serwerem, aby pobrać KANDYKORN i uruchomić to szkodliwe oprogramowanie bezpośrednio w pamięci.
Szkodnik SUGARLOADER uruchamia samopodpisany plik binarny znany jako HLOADER. Ten plik binarny działa jak legalna aplikacja Discord, aby osiągnąć trwałość poprzez przejmowanie przepływu wykonywania.
KANDYKORN jest wdrażany jako ładunek końcowego etapu i jest wyposażony w w pełni funkcjonalny RAT rezydentny. Zawiera także wbudowane możliwości dokładnego wyliczania, uruchamiania dodatkowego złośliwego oprogramowania, eksfiltracji danych, kończenia procesów i uruchamiania dowolnych poleceń.
Badacze stwierdzili dalej, że Korea Północna wykorzystuje jednostki takie jak Grupa Lazarus do atakowania przedsiębiorstw z sektora kryptowalutdo kradzieży aktywów kryptograficznychi naruszają sankcje międzynarodowe.