| 1 ноя 2023 — 19:19 PT
Исследователи безопасности выявили попытку спонсируемых государством хакеров из Корейской Народно-Демотической Республики (КНДР) заразить блокчейн-инженеров одной из неназванных криптобиржевых платформ новой формой вредоносного ПО для macOS.
31 октября Elastic Security Labs раскрыла информацию о вторжении, которое использует кастомные и открытые возможности для начального доступа и постэксплуатации на Mac, начиная с Discord…
Elastic называет эту форму вредоносного ПО для macOS «Kandykorn», отслеживаемый как REF7001, и связывает его существование с печально известным киберпреступным предприятием КНДР Lazarus Group после обнаружения совпадений в сетевой инфраструктуре и используемых методах.
Важно отметить, что, хотя это серьезная атака, которая может остаться незамеченной, это крайне редкий случай, о котором большинству людей не стоит беспокоиться.
Хакеры Lazarus использовали Discord, чтобы выдавать себя за членов сообщества блокчейн-инженеров, убеждая их скачать и распаковать ZIP-архив, содержащий вредоносный Python-код (Kandykorn). Тем временем жертвы полагали, что устанавливают арбитражного бота для получения прибыли от разницы в курсах криптовалют.
«Kandykorn — это продвинутый имплант с различными возможностями для мониторинга, взаимодействия и обхода обнаружения», — заявили во вторник исследователи Elastic. «Он использует рефлексивную загрузку, прямую форму выполнения в памяти, которая может обходить обнаружение».
Поток выполнения REF7001 состоит из пяти этапов:
- Первоначальное заражение: Злоумышленники нацеливаются на блокчейн-инженеров с помощью замаскированного приложения Python для арбитражного бота под названием Watcher.py. Оно распространяется в ZIP-файле под названием «Cross-Platform Bridges.zip».
- Сетевое соединение: Если жертва успешно устанавливает вредоносный Python-код, устанавливается исходящее сетевое соединение с промежуточными скриптами-дропперами для загрузки и выполнения Sugerloader.
- Полезная нагрузка: Обфусцированный бинарный файл Sugarloader используется для первоначального доступа к системе macOS и инициализации для финального этапа.
- Персистентность: Hloader, который маскируется под фактическое приложение Discord, теперь запускается вместе с ним для обеспечения персистентности Sugarloader.
- Выполнение: Kandykorn, способный получать доступ к данным и проводить их эксфильтрацию, ожидает команд с C2-сервера.
Kandykorn, финальная полезная нагрузка, представляет собой полноценное резидентное в памяти RAT (Remote Access Trojan) со встроенными возможностями для выполнения произвольных команд, запуска дополнительного вредоносного ПО, эксфильтрации данных и завершения процессов. Вредоносное ПО для macOS взаимодействует с хакерами Lazarus Group, используя серверы командно-контрольной связи (C2) с шифрованием данных RC4.
«Действия, демонстрируемые Lazarus Group, показывают, что у злоумышленника нет намерения замедляться в атаках на компании и частных лиц, владеющих криптовалютой», — говорит Джарон Брэдли, директор Jamf Threat Labs и член команды, обнаружившей аналогичную форму вредоносного ПО для macOS ранее в этом году.
«Они также продолжают демонстрировать, что у них нет недостатка в новом вредоносном ПО в их «заднем кармане» и они знакомы с продвинутыми техниками злоумышленников. Мы продолжаем видеть, как они напрямую обращаются к жертвам, используя различные технологии чата. Именно здесь они строят доверие, прежде чем обманом заставить их запустить вредоносное программное обеспечение», — заявляет Брэдли.
Kandykorn по-прежнему является активной угрозой, и инструменты и методы постоянно развиваются. Техническое описание Elastic Security Labs предоставляет подробную информацию об этом вторжении, включая фрагменты кода и скриншоты.