Utvrđeno je da hakeri koje sponzoriše Demokratska Narodna Republika Koreja (DPRK) ciljaju na blokčein inžinjere neimenovane platforme za razmjenu kriptovaluta preko Discorda s novim macOS malverom nazvanim KANDYKORN.
Elastic Security Labs je saopštio da se aktivnost, koja se vodi do aprila 2023. godine, preklapa sa zloglasnim suparničkim kolektivom Lazarus Group, navodeći analizu mrežne infrastrukture i korištenih tehnika.
“Hakeri su namamili blockchain inženjere pomoću Python aplikacije kako bi dobili početni pristup okruženju”, rekli su istraživači sigurnosti Ricardo Ungureanu, Seth Goodwin i Andrew Pease u izvještaju objavljenom danas.
“Ovaj upad je uključivao više složenih faza od kojih je svaka koristila namjerne tehnike izbjegavanja odbrane.”
Ovo nije prvi put da Lazarus grupa koristi macOS malver u svojim napadima. Ranije ove godine, haker je primijećen kako distribuiše backdoored PDF aplikaciju koja je kulminirala uvođenjem RustBucket-a, backdoor-a zasnovanog na AppleScript-u koji je sposoban da preuzme payload druge faze sa udaljenog servera.
Ono po čemu se nova kampanja ističe je napadačevo lažno predstavljanje blockchain inženjera na javnom Discord serveru, koristeći mamce društvenog inženjeringa da prevari žrtve da preuzmu i izvrše ZIP arhivu koja sadrži zlonamjerni kod.
“Žrtva je vjerovala da instaliraju arbitražnog bota, softverski alat koji može profitirati od razlika u kursu kriptovaluta između platformi”, rekli su istraživači. Ali u stvarnosti, lanac napada je utro put za isporuku KANDYKORN-a nakon procesa u pet faza.
“KANDYKORN je napredni implantat s raznim mogućnostima za praćenje, interakciju s njima i izbjegavanje otkrivanja”, rekli su istraživači. “Koristi reflektivno učitavanje, oblik izvršenja u direktnoj memoriji koji može zaobići detekcije.”
Polazna tačka je Python skripta (watcher.py), koja preuzima drugu Python skriptu (testSpeed.py) koja se nalazi na Google disku. Ovaj dropper, sa svoje strane, dohvaća još jednu Python datoteku sa URL-a Google diska, pod nazivom FinderTools.
FinderTools takođe funkcioniše kao dropper, preuzimajući i izvršavajući skriveni drugi stepen payloada koji se naziva SUGARLOADER (/Users/shared/.sld i .log) koji se na kraju povezuje sa udaljenim serverom kako bi preuzeo KANDYKORN i izvršio ga direktno u memoriji.
SUGARLOADER je takođe odgovoran za pokretanje samopotpisanog binarnog fajla zasnovanog na Swiftu poznatog kao HLOADER koji pokušava da se predstavi kao legitimna Discord aplikacija i izvršava .log (tj. SUGARLOADER) da bi postigao postojanost koristeći metodu koja se zove otmica toka izvršavanja.
KANDYKORN, koji je konačna faza payloada, je RAT sa punim mogućnostima rezidentne memorije sa ugrađenim mogućnostima nabrajanja datoteka, pokretanja dodatnog malvera, eksfiltriranja podataka, prekida procesa i pokretanja proizvoljnih naredbi.
“DNRK, preko jedinica kao što je Lazarus Group, nastavlja da cilja na kompanije iz kriptoindustrije s ciljem krađe kriptovalute kako bi zaobišla međunarodne sankcije koje ometaju rast njihove ekonomije i ambicija”, rekli su istraživači.
Kimsuky se ponovo pojavljuje s ažuriranim FastViewer malverom
Ovo otkriće dolazi nakon što je tim za analizu pretnji S2W otkrio ažuriranu varijantu Android špijunskog softvera pod nazivom FastViewer koji koristi severnokorejski hakerski klaster pod nazivom Kimsuky (aka APT43), sestrinska hakerska grupa Lazarus grupe.
FastViewer, koji je prvi put dokumentovala južnokorejska firma za kibernetičku sigurnost u oktobru 2022. godine, zloupotrebljava Android usluge pristupačnosti za prikriveno prikupljanje osjetljivih podataka s kompromitovanih uređaja tako što se maskira kao naizgled bezopasne sigurnosne aplikacije ili aplikacije za e-trgovinu koje se propagiraju putem phishing-a ili smishing-a.
Takođe je dizajniran za preuzimanje malvera druge faze pod nazivom FastSpy, koji je baziran na projektu otvorenog koda AndroSpy, za izvršavanje naredbi za prikupljanje podataka i eksfiltraciju.
“Varijanta je u proizvodnji najmanje od jula 2023. i, kao i početna verzija, utvrđeno je da izaziva instalaciju distribucijom prepakovanih APK-ova koji uključuju zlonamjerni kod u legitimnim aplikacijama”, rekao je S2W.
Jedan značajan aspekt nove verzije je integracija FastSpy funkcionalnosti u FastViewer, čime se eliminiše potreba za preuzimanjem dodatnog malvera. Uz to, S2W je rekao da “nema poznatih slučajeva da se ova varijanta distribuiše u okruženju.”
Izvor: The Hacker News