Kandykorn-Malware

Es wurde festgestellt, dass Cyber-Angreifer, die von der Regierung der Demokratischen Volksrepublik Korea (DVRK) unterstützt werden, Blockchain-Experten im Visier haben, die über die Messaging-Plattform Discord mit einer nicht näher bezeichneten Kryptowährungs-Austauschplattform in Verbindung stehen. Sie haben eine neue macOS-Malware namens KANDYKORN eingesetzt. Diese bedrohliche Operation lässt sich bis in den April 2023 zurückverfolgen und weist Ähnlichkeiten mit der berüchtigten Hackergruppe namens Lazarus Group auf, wie eine Untersuchung der Netzwerkinfrastruktur und der eingesetzten Taktiken zeigt.

Die Angreifer lockten Blockchain-Experten dazu, mithilfe einer Python-Anwendung zunächst in der Zielumgebung Fuß zu fassen. Der Einbruch bestand aus mehreren komplizierten Phasen, wobei jede einzelne bewusste Techniken beinhaltete, um einer Entdeckung zu entgehen und Sicherheitsmaßnahmen zu umgehen.

Die Bedrohungsakteure nutzten Social-Engineering-Köder, um die Kandykorn-Malware einzusetzen

Die Verwendung von macOS-Malware in ihren Betrieben durch die Lazarus Group ist keine neue Entwicklung. Im vergangenen Jahr wurde beobachtet, dass dieser Bedrohungsakteur eine manipulierte PDF-Anwendung verbreitete, was schließlich zum Einsatz von RustBucket führte, einer auf AppleScript basierenden Hintertür. RustBucket hatte die Möglichkeit, eine Nutzlast der zweiten Stufe von einem Remote-Server abzurufen.

Was die neue Kampagne auszeichnet, ist die Taktik des Angreifers, sich auf einem öffentlichen Discord-Server als Blockchain-Ingenieur auszugeben und Social-Engineering-Techniken einzusetzen, um Opfer dazu zu verleiten, ein ZIP-Archiv mit bösartigem Code herunterzuladen und auszuführen.

Den Opfern wird vorgetäuscht, dass sie einen Arbitrage-Bot installieren, ein Softwaretool, das Unterschiede in den Kryptowährungskursen zwischen den Plattformen ausnutzen kann, um Gewinne zu erzielen. In Wirklichkeit bereitet dieser trügerische Prozess die Bühne für die Lieferung von KANDYKORN, die sich in einem fünfstufigen Verlauf entfaltet.

Eine mehrstufige Infektionskette erleichtert die Kandykorn-Malware-Infektion

KANDYKORN stellt ein hochentwickeltes Implantat dar, das mit einer breiten Palette an Funktionen zur Überwachung, Interaktion und Umgehung der Erkennung ausgestattet ist. Dabei kommt Reflektives Laden zum Einsatz, eine Methode der direkten Speicherausführung, die potenziell Erkennungsmechanismen entgehen kann.

Der erste Schritt in diesem Prozess umfasst ein Python-Skript namens „watcher.py“, das ein weiteres Python-Skript „testSpeed.py“ abruft, das auf Google Drive gehostet wird. Dieses zweite Python-Skript fungiert als Dropper und ruft eine zusätzliche Python-Datei mit dem Namen „FinderTools“ von einer Google Drive-URL ab.

FinderTools dient auch als Dropper und ist für das Herunterladen und Ausführen einer verborgenen Nutzlast der zweiten Stufe verantwortlich, die als „SUGARLOADER“ bezeichnet wird (zu finden unter /Users/shared/.sld und .log). Anschließend stellt SUGARLOADER eine Verbindung mit einem Remote-Server her, um KANDYKORN abzurufen und direkt im Speicher auszuführen.

SUGARLOADER übernimmt eine zusätzliche Rolle, indem es eine selbstsignierte Swift-basierte Binärdatei namens „HLOADER“ startet, die versucht, sich als legitime Discord-Anwendung auszugeben und „.log“ (d. h. SUGARLOADER) auszuführen, um durch eine als Ausführung bekannte Technik Persistenz zu erreichen Flow-Hijacking.

KANDYKORN, der als ultimative Nutzlast dient, ist ein voll ausgestatteter speicherresidenter Remote-Access-Trojaner (RAT) mit inhärenten Funktionen zur Dateiaufzählung, zum Ausführen zusätzlicher Malware, zum Exfiltrieren von Daten, zum Beenden von Prozessen und zum Ausführen beliebiger Befehle.

Die Präsenz von KANDYKORN unterstreicht die kontinuierlichen Bemühungen der DVRK, insbesondere durch Unternehmen wie die Lazarus Group, Unternehmen im Zusammenhang mit Kryptowährungen ins Visier zu nehmen. Ihr Hauptziel besteht darin, Kryptowährungen zu stehlen, um internationale Sanktionen zu umgehen, die das Wachstum ihrer Wirtschaft und ihre Ambitionen behindern.