Door de Noord-Koreaanse staat gesponsorde hackers hebben zich via Discord op de blockchain-ingenieurs gericht vanuit een naamloze cryptocurrency-uitwisseling. Deze ontwikkelaars waren het doelwit van een nieuwe macOS-malware die bekend staat als KANDYKORN.
Volgenseen rapportdoor cybersecurity-onderzoekers Ricardo Ungureanu, Seth Goodwin en Andrew Pease hebben bedreigingsactoren blockchain-ingenieurs gelokt met behulp van een Python-applicatie om de initiële toegang tot de hackomgeving te beveiligen.
De onderzoekers bevestigden,
“Deze inbraak omvatte meerdere complexe fasen waarbij elk doelbewuste verdedigingsontwijkingstechnieken werd gebruikt”
Het is niet de eerste keer dat de Lazarus Group de macOS-malware gebruikt om hackcampagnes uit te voeren.
Eerder dit jaar werd ontdekt dat de groep bedreigingsactoren een PDF-applicatie met een achterdeur verspreidde, wat leidde tot de implementatie van RustBucket. RustBucket is een achterdeur gebaseerd op AppleScript. De achterdeur wordt gebruikt om de tweede fase van de payload op te halen van externe servers.
Deze hackcampagne is uniek vanwege de manier waarop bedreigingsactoren blockchain-ingenieurs hebben nagebootst binnen een openbare Discord-server. De hackers hebben ook social engineering-technieken gebruikt om slachtoffers te misleiden zodat ze een ZIP-archief met kwaadaardige code downloaden en uitvoeren.
De onderzoekers zeiden dat slachtoffers werden misleid om een arbitragebot te installeren. Cryptocurrency-handelaren gebruiken deze bot om te profiteren van de verschillen in cryptocurrency-tarieven tussen platforms.
De onderzoekers merkten op:
KANDYKORN is een geavanceerd implantaat met verschillende mogelijkheden om detectie te monitoren, ermee te communiceren en detectie te voorkomen. Het maakt gebruik van reflectief laden, een uitvoeringsvorm met direct geheugen die detecties kan omzeilen.
Hoe de malware werkt
De malwarebegint met een Python-script dat een ander Python-script ophaalt dat wordt gehost op Google Drive. De dropper verzamelt nog een Python-bestand van een Google Drive-URL die bekend staat als FinderTools.
FinderTools werkt ook als een dropper om een verborgen lading in de tweede fase te downloaden en uit te voeren, bekend als SUGARLOADER. Deze payload maakt verbinding met een externe server om KANDYKORN op te halen en deze malware rechtstreeks in het geheugen uit te voeren.
De SUGARLOADER-malware lanceert een zelfondertekend binair bestand dat bekend staat als HLOADER. Dit binaire bestand werkt als de legitieme Discord-applicatie om persistentie te bereiken met behulp van het kapen van de uitvoeringsstroom.
KANDYKORN wordt ingezet als payload in de laatste fase en wordt geleverd met een volledig functionele geheugen-resident RAT. Het bevat ook ingebouwde mogelijkheden voor nauwkeurige opsomming, het uitvoeren van extra malware, het exfiltreren van gegevens, het beëindigen van processen en het uitvoeren van willekeurige opdrachten.
De onderzoekers zeiden verder dat Noord-Korea eenheden zoals de Lazarus Group gebruikt om bedrijven in de cryptocurrency-sector te targetenom crypto-activa te stelenen internationale sancties schenden.