Logiciel malveillant Kandykorn

Des cyberattaquants soutenus par le gouvernement de la République populaire démocratique de Corée (RPDC) ont été identifiés comme ciblant des experts en blockchain associés à une plateforme d'échange de cryptomonnaie non spécifiée via la plateforme de messagerie Discord. Ils ont utilisé un nouveau malware macOS appelé KANDYKORN. Cette opération menaçante remonte à avril 2023 et partage des similitudes avec le célèbre groupe de piratage informatique connu sous le nom de Lazarus Group , comme l'indique un examen de l'infrastructure réseau et des tactiques utilisées.

Les attaquants ont incité les professionnels de la blockchain à utiliser une application Python pour établir un premier point d'ancrage dans l'environnement ciblé. L’intrusion s’est composée de plusieurs phases complexes, chacune intégrant des techniques délibérées pour échapper à la détection et contourner les mesures de sécurité.

Les acteurs de la menace ont utilisé des leurres d'ingénierie sociale pour déployer le logiciel malveillant Kandykorn

L'utilisation par le groupe Lazarus de logiciels malveillants macOS dans ses opérations n'est pas un développement récent. Au cours de la dernière année, cet acteur malveillant a été observé en train de diffuser une application PDF falsifiée, ce qui a finalement conduit au déploiement de RustBucket, une porte dérobée basée sur AppleScript. RustBucket avait la capacité de récupérer une charge utile de deuxième étape à partir d'un serveur distant.

Ce qui distingue la nouvelle campagne est la tactique de l'attaquant consistant à se faire passer pour des ingénieurs blockchain sur un serveur Discord public et à utiliser des techniques d'ingénierie sociale pour inciter les victimes à télécharger et à exécuter une archive ZIP contenant du code malveillant.

On fait croire aux victimes qu’elles installent un robot d’arbitrage, un outil logiciel qui peut exploiter les différences de taux de crypto-monnaie entre les plateformes à des fins lucratives. En réalité, ce processus trompeur prépare le terrain pour la livraison de KANDYKORN, qui se déroule en cinq étapes.

Une chaîne d'infection en plusieurs étapes facilite l'infection par le logiciel malveillant Kandykorn

KANDYKORN représente un implant sophistiqué doté d'un large éventail de fonctionnalités conçues pour la surveillance, l'interaction et l'évasion de la détection. Il utilise le chargement réfléchissant, une méthode d’exécution en mémoire directe qui peut potentiellement échapper aux mécanismes de détection.

La première étape de ce processus implique un script Python, connu sous le nom de « watcher.py », qui récupère un autre script Python, « testSpeed.py », hébergé sur Google Drive. Ce deuxième script Python agit comme un compte-gouttes et récupère un fichier Python supplémentaire à partir d'une URL Google Drive, nommé « FinderTools ».

FinderTools sert également de compte-gouttes, responsable du téléchargement et de l'exécution d'une charge utile cachée de deuxième étape appelée « SUGARLOADER » (située dans /Users/shared/.sld et .log). SUGARLOADER établit ensuite une connexion avec un serveur distant pour récupérer KANDYKORN et l'exécuter directement en mémoire.

SUGARLOADER joue un rôle supplémentaire en lançant un binaire auto-signé basé sur Swift appelé « HLOADER », qui tente de se faire passer pour l'application Discord légitime et d'exécuter « .log » (c'est-à-dire SUGARLOADER) pour obtenir la persistance grâce à une technique connue sous le nom d'exécution. détournement de flux.

KANDYKORN, servant de charge utile ultime, est un cheval de Troie d'accès à distance (RAT) résident en mémoire complet avec des capacités inhérentes pour l'énumération de fichiers, l'exécution de logiciels malveillants supplémentaires, l'exfiltration de données, la fin de processus et l'exécution de commandes arbitraires.

La présence de KANDYKORN souligne les efforts continus de la RPDC, notamment par l’intermédiaire d’entités comme le groupe Lazarus, pour cibler les entreprises liées aux cryptomonnaies. Leur objectif principal est de voler des cryptomonnaies afin de contourner les sanctions internationales qui entravent la croissance de leur économie et de leurs aspirations.