Исследователи безопасности выявили попытку спонсируемых государством хакеров из Корейской Народно-Демократической Республики (КНДР) заразить инженеров блокчейна, принадлежащих нераскрытой платформе обмена криптовалютами, новой формой вредоносного ПО для macOS.
31 октября Elastic Security Labs раскрыла информацию о вторжении, в котором используются специальные возможности и возможности с открытым исходным кодом для первоначального доступа и последующей эксплуатации на Mac через общедоступный сервер Discord или DM.
Elastic называет эту форму вредоносного ПО для macOS «Kandykorn», отслеживаемую как REF7001, и приписывает ее существование печально известному КНДР киберпреступному предприятию Lazarus Group после обнаружения совпадений в сетевой инфраструктуре и используемых методах.
Хакеры Lazarus использовали Discord, чтобы выдать себя за членов сообщества разработчиков блокчейнов, убедив их загрузить и распаковать ZIP-архив, содержащий вредоносный код Python (Kandykorn). Между тем жертвы полагали, что они устанавливают арбитражного бота, чтобы получить прибыль от разницы в курсах криптовалют.
«Кандикорн — это усовершенствованный имплантат с различными возможностями мониторинга, взаимодействия и предотвращения обнаружения», — заявили во вторник исследователи из Elastic. «Он использует рефлексивную загрузку, форму выполнения с прямой памятью, которая может обходить обнаружения».
Процесс выполнения REF7001 состоит из пяти этапов:
- Первоначальный компромисс: Злоумышленники нацелены на инженеров блокчейна с помощью замаскированного приложения Python для арбитражного бота под названием Watcher.py. Он распространяется в виде ZIP-файла под названием «Cross-Platform Bridges.zip».
- Подключение к сети: Если жертва успешно устанавливает вредоносный код Python, устанавливается исходящее сетевое соединение с промежуточными скриптами-дропперами для загрузки и выполнения Sugerloader.
- Полезная нагрузка: Запутанный двоичный файл Sugarloader используется для начального доступа в системе macOS и инициализируется на заключительном этапе.
- Упорство: Hloader, который маскируется под настоящее приложение Discord, теперь запускается вместе с ним, чтобы обеспечить постоянство Sugarloader.
- Исполнение: Кандикорн, способный к доступу к данным и их краже, ожидает команд от сервера C2.
Kandykorn, представляющая собой полезную нагрузку последней стадии, представляет собой полнофункциональную резидентную RAT со встроенными возможностями запуска произвольных команд, запуска дополнительных вредоносных программ, извлечения данных и уничтожения процессов. Вредоносное ПО для macOS взаимодействует с хакерами Lazarus Group с помощью серверов управления и контроля (C2) с шифрованием данных RC4.
«Действия, продемонстрированные Lazarus Group, показывают, что действующее лицо не намерено замедлять действия в отношении компаний и частных лиц, владеющих криптовалютой», — говорит Джарон Брэдли, директор Jamf Threat Labs и член команды, стоящей за обнаружением вируса. аналогичная форма вредоносного ПО для macOS ранее в этом году.
«Они также продолжают демонстрировать, что в их заднем кармане нет недостатка в новых вредоносных программах, а также в знакомстве с передовыми методами злоумышленников. Мы по-прежнему видим, как они напрямую обращаются к жертвам, используя различные технологии чата. Именно здесь они завоевывают доверие, прежде чем обманным путем заставить их запустить вредоносное программное обеспечение», — заявляет Брэдли.
Кандикорн по-прежнему представляет собой активную угрозу, а инструменты и методы постоянно развиваются. Технический отчет Elastic Security Labs содержит подробную информацию об этом вторжении, включая фрагменты кода и снимки экрана.
Следуйте за Арином: Твиттер/ХLinkedIn, Темы
