Το νέο κακόβουλο λογισμικό macOS ‘KandyKorn’ στοχεύει μηχανικούς κρυπτονομισμάτων

Ένα νέο κακόβουλο λογισμικό macOS με την ονομασία «KandyKorn» εντοπίστηκε σε μια καμπάνια που αποδίδεται στην ομάδα χάκερ Lazarus της Βόρειας Κορέας, η οποία στοχεύει μηχανικούς blockchain μιας πλατφόρμας ανταλλαγής

κρυπτο

νομισμάτων.

Οι εισβολείς υποδύονται μέλη της κοινότητας κρυπτονομισμάτων στα κανάλια Discord για να διαδώσουν λειτουργικές μονάδες που βασίζονται σε Python που ενεργοποιούν μια αλυσίδα μόλυνσης KandyKorn πολλαπλών σταδίων.

Ελασ

τι

κή Ασφάλεια

ανακαλύφθηκε και αποδόθηκε

οι επιθέσεις στο Lazarus βασίζονται σε επικαλύψεις με προηγούμενες καμπάνιες σχετικά με τις χρησιμοποιούμενες τεχνικές, την υποδομή δικτύου, τα πιστοποιητικά υπογραφής κωδικού και τους προσαρμοσμένους κανόνες ανίχνευσης Lazarus.

Στοχεύοντας την κοινότητα κρυπτογράφησης

Η επίθεση, η οποία ξεκινά στο Discord, ξεκινά με επιθέσεις κοινωνικής μηχανικής σε στόχους για να τους ξεγελάσουν ώστε να κατεβάσουν ένα κακόβουλο αρχείο ZIP με το όνομα «Cross-platform Bridges.zip».

Το θύμα παραπλανάται και πιστεύει ότι κατεβάζει ένα νόμιμο bot arbitrage σχεδιασμένο για αυτοματοποιημένη δημιουργία κερδών από συναλλαγές κρυπτονομισμάτων.

Αντίθετα, το περιεχόμενο σενάριο Python (“Main.py”) θα εισάγει 13 λειτουργικές μονάδες από ίσο αριθμό σεναρίων στο ZIP, εκκινώντας το πρώτο ωφέλιμο φορτίο, το “Watcher.py”.

Το Watcher.py είναι ένα πρόγραμμα λήψης που αποσυσκευάζει και εκτελεί ένα δεύτερο σενάριο Python με το όνομα “testSpeed.py” μαζί με ένα άλλο αρχείο Python με το όνομα “FinderTools”, το οποίο έχει ληφθεί από μια διεύθυνση URL του Google Drive.

Το FinderTools είναι ένα σταγονόμετρο που ανακτά και εκκινεί ένα συγκεχυμένο δυαδικό αρχείο με το όνομα “SugarLoader”, το οποίο εμφανίζεται κάτω από δύο ονόματα και παρουσίες, ως εκτελέσιμα αρχεία .sld και .log Mach-O.

Το Sugarloader δημιουργεί μια σύνδεση με τον διακομιστή εντολών και ελέγχου (C2) για να πάρει και να φορτώσει το τελικό ωφέλιμο φορτίο, KandyKorn, στη μνήμη χρησιμοποιώντας ανακλαστική δυαδική φόρτωση.

Το κόλπο

επιμονή

ς του macOS

Στο τελικό στάδιο της επίθεσης, χρησιμοποιείται ένας φορτωτής γνωστός ως HLoader, ο οποίος υποδύεται το Discord και χρησιμοποιεί τεχνικές υπογραφής δυαδικού κώδικα macOS που παρατηρήθηκαν σε προηγούμενες καμπάνιες του Lazarus.

Το HLoader εδραιώνει την επιμονή για το SugarLoader καταπατώντας την πραγματική εφαρμογή Discord στο μολυσμένο σύστημα, μετά από μια σειρά ενεργειών δυαδικής μετονομασίας.

«Παρατηρήσαμε τον παράγοντα απειλής να υιοθετεί μια τεχνική που δεν τους έχουμε δει στο παρελθόν να χρησιμοποιούν για να επιτύχουν επιμονή στο macOS, γνωστή ως πειρατεία ροής εκτέλεσης», εξηγεί η Elastic.

Συγκεκριμένα, το HLOADER εκτελεί τις ακόλουθες λειτουργίες κατά την εκκίνηση:

• Μετονομάζεται από Discord σε MacOS.tmp
• Μετονομάζει το νόμιμο δυαδικό αρχείο Discord από .lock σε Discord
• Εκτελεί τόσο το Discord όσο και το .log χρησιμοποιώντας το NSTask.launchAndReturnError
• Μετονομάζει και τα δύο αρχεία στα αρχικά τους ονόματα

KandyKorn

Το KandyKorn είναι ένα προηγμένο ωφέλιμο φορτίο τελικού σταδίου που επιτρέπει στον Lazarus να έχει πρόσβαση και να κλέβει δεδομένα από τον μολυσμένο υπολογιστή.

Λειτουργεί στο παρασκήνιο ως δαίμονας, περιμένοντας εντολές από τον διακομιστή C2 και αποφεύγοντας την αποστολή καρδιακών παλμών για να ελαχιστοποιήσει το ίχνος του στο σύστημα.

Το KandyKorn υποστηρίζει τις ακόλουθες 16 εντολές:

1. 0xD1: Τερματίζει το πρόγραμμα.
2. 0xD2: Συλλέγει πληροφορίες συστήματος.
3. 0xD3: Παραθέτει τα περιεχόμενα του καταλόγου.
4. 0xD4: Αναλύει τις ιδιότητες καταλόγου.
5. 0xD5: Μεταφορτώνει αρχεία από το C2 στον υπολογιστή του θύματος.
6. 0xD6: Εξ
   
   αγωγή
   
   αρχείων από το θύμα στο C2.
7. 0xD7: Αρχειοθετεί και εξάγει τους καταλόγους.
8. 0xD8: Διαγράφει με ασφάλεια αρχεία χρησιμοποιώντας αντικατάσταση με μηδενικά.
9. 0xD9: Εμφανίζει όλες τις διεργασίες που εκτελούνται.
10. 0xDA: Σκοτώνει μια καθορισμένη διαδικασία.
11. 0xDB: Εκτελεί εντολές συστήματος μέσω ψευδοτερματικού.
12. 0xDC: Ανακτά εξόδους εντολών.
13. 0xDD: Εκκινεί ένα διαδραστικό κέλυφος.
14. 0xDE: Ανακτά την τρέχουσα διαμόρφωση.
15. 0xDF: Ενημερώνει τη διαμόρφωση C2.
16. 0xE0: Διακόπτει προσωρινά τις λειτουργίες.

Συνοπτικά, το KandyKorn είναι ένα ιδιαίτερα κρυφό backdoor ικανό για ανάκτηση δεδομένων, καταχώριση καταλόγου, αποστολή/λήψη αρχείων, ασφαλή διαγραφή, τερματισμό δι

εργασία

ς και εκτέλεση εντολών.

Ο τομέας των κρυπτονομισμάτων παραμένει πρωταρχικός στόχος για τον Lazarus, κυρίως με κίνητρο το οικονομικό κέρδος και όχι την κατασκοπεία, που είναι η άλλη κύρια επιχειρησιακή εστίασή τους.

Η ύπαρξη του KandyKorn υπογραμμίζει ότι το macOS βρίσκεται εντός του εύρους στόχευσης του Lazarus, επιδεικνύοντας την αξιοσημείωτη ικανότητα της ομάδας απειλών να δημιουργεί εξελιγμένο και δυσδιάκριτο κακόβουλο λογισμικό προσαρμοσμένο για υπολογιστές Apple.