Kandykorn Malware

朝鮮民主主義人民共和国（DPRK）政府が支援するサイバー攻撃者が、メッセージングプラットフォームDiscordを通じて不特定の仮想通貨交換プラットフォームに関連するブロックチェーン専門家を標的にしていることが判明した。彼らは、KANDYKORN と呼ばれる新しい macOS マルウェアを使用しました。この脅迫的な活動は 2023 年 4 月まで遡ることができ、使用されたネットワーク インフラストラクチャと戦術の調査からわかるように、 Lazarus Groupとして知られる悪名高いハッカー グループとの類似点があります。

攻撃者は、Python アプリケーションを使用してブロックチェーンの専門家を誘惑し、標的の環境内に最初の足掛かりを確立させました。侵入は複数の複雑なフェーズで構成されており、各フェーズには検出を回避しセキュリティ対策を回避するための意図的なテクニックが組み込まれていました。

脅威アクターはソーシャル エンジニアリングの誘惑を利用して Kandykorn マルウェアを展開しました

Lazarus Group が業務に macOS マルウェアを利用するのは最近の出来事ではありません。昨年、この脅威アクターが改ざんされた PDF アプリケーションを配布することが観察され、最終的には AppleScript ベースのバックドアである RustBucket の展開につながりました。 RustBucket には、リモート サーバーから第 2 段階のペイロードを取得する機能がありました。

新しいキャンペーンの特徴は、公開 Discord サーバー上でブロックチェーン エンジニアを装い、ソーシャル エンジニアリング技術を利用して被害者を騙し、悪意のあるコードを含む ZIP アーカイブをダウンロードして実行させるという攻撃者の戦術です。

被害者は、プラットフォーム間の暗号通貨レートの違いを利用して利益を得ることができるソフトウェア ツールであるアービトラージ ボットをインストールしていると信じ込まされます。実際には、この欺瞞的なプロセスが KANDYKORN の配信の舞台を設定し、5 段階の進行を通じて展開されます。

多段階の感染チェーンが Kandykorn マルウェア感染を促進

KANDYKORN は、監視、相互作用、検出回避のために設計された幅広い機能を備えた洗練されたインプラントです。これは、検出メカニズムを回避できる可能性がある直接メモリ実行の方法であるリフレクティブ ローディングを採用しています。

このプロセスの最初のステップには、「watcher.py」として知られる Python スクリプトが含まれます。このスクリプトは、Google ドライブでホストされている別の Python スクリプト「testSpeed.py」を取得します。この 2 番目の Python スクリプトはドロッパーとして機能し、Google ドライブ URL から「FinderTools」という名前の追加の Python ファイルを取得します。

FinderTools はドロッパーとしても機能し、「SUGARLOADER」と呼ばれる隠蔽された第 2 段階ペイロード (/Users/shared/.sld および .log にあります) をダウンロードして実行します。その後、SUGARLOADER はリモート サーバーとの接続を確立して KANDYKORN を取得し、メモリ内で直接実行します。

SUGARLOADER は、「HLOADER」と呼ばれる自己署名済みの Swift ベースのバイナリを起動することによって追加の役割を果たします。これは、正規の Discord アプリケーションを装って「.log」（つまり、SUGARLOADER）を実行して、実行として知られる手法を通じて永続性を実現しようとします。フローハイジャック。

最終的なペイロードとして機能する KANDYKORN は、ファイルの列挙、追加のマルウェアの実行、データの抽出、プロセスの終了、および任意のコマンドの実行といった固有の機能を備えた、フル機能を備えたメモリ常駐型のリモート アクセス トロイの木馬 (RAT) です。

KANDYKORN の存在は、特に Lazarus Group のような団体を通じた、仮想通貨関連ビジネスをターゲットとする北朝鮮の継続的な努力を強調しています。彼らの主な目的は、経済の成長と願望を妨げる国際的な制裁を回避するために暗号通貨を盗むことです。