朝鲜黑客利用 KANDYKORN macOS 恶意软件瞄准加密专家

admin 2023年11月2日17:32:43评论63 views字数 1894阅读6分18秒阅读模式

更多全球网络安全资讯尽在邑安全


朝鲜黑客利用 KANDYKORN macOS 恶意软件瞄准加密专家

来自朝鲜民主主义人民共和国 (DPRK) 的国家支持威胁行为者被发现通过 Discord 使用一种名为 KANDYKORN 的新型 macOS 恶意软件针对一个未命名的加密货币交易平台的区块链工程师
Elastic Security Labs 援引对所使用的网络基础设施和技术的分析表示,该活动可追溯到 2023 年 4 月,与臭名昭著的对抗团体Lazarus Group存在重叠。
安全研究人员 Ricardo Ungureanu、Seth Goodwin 和 Andrew Pease在今天发布的一份报告中表示:“威胁行为者利用 Python 应用程序引诱区块链工程师获得对环境的初步访问权限。”
“这次入侵涉及多个复杂的阶段,每个阶段都采用了故意的防御规避技术。”
这并不是 Lazarus Group 第一次利用 macOS 恶意软件进行攻击。今年早些时候,我们观察到威胁行为者分发了一个带后门的 PDF 应用程序,最终部署了RustBucket,这是一个基于 AppleScript 的后门,能够从远程服务器检索第二阶段的有效负载。
此次新活动的突出之处在于,攻击者在公共 Discord 服务器上冒充区块链工程师,利用社会工程诱饵诱骗受害者下载并执行包含恶意代码的 ZIP 存档。
研究人员表示:“受害者认为他们正在安装套利机器人,这是一种能够从平台之间的加密货币汇率差异中获利的软件工具。” 但实际上,攻击链经过五个阶段的过程为 KANDYKORN 的交付铺平了道路。

朝鲜黑客利用 KANDYKORN macOS 恶意软件瞄准加密专家

研究人员表示:“KANDYKORN 是一种先进的植入物,具有多种监控、交互和避免检测的功能。” “它利用反射加载,这是一种可以绕过检测的直接内存执行形式。”
起点是一个 Python 脚本 (watcher.py),它检索 Google Drive 上托管的另一个 Python 脚本 (testSpeed.py)。这个释放器从 Google Drive URL 中再获取一个名为 FinderTools 的 Python 文件。
FinderTools 还充当释放器,下载并执行称为SUGARLOADER(/Users/shared/.sld 和 .log)的隐藏第二阶段有效负载,最终连接到远程服务器以检索 KANDYKORN 并直接在内存中执行。
SUGARLOADER 还负责启动一个基于 Swift 的自签名二进制文件(称为HLOADER),它尝试冒充合法的 Discord 应用程序并执行 .log(即 SUGARLOADER),以使用称为执行流劫持的方法实现持久性。
KANDYKORN 是最后阶段的有效负载,是一种功能齐全的内存驻留 RAT,具有枚举文件、运行其他恶意软件、泄露数据、终止进程和运行任意命令的内置功能。

研究人员表示:“朝鲜通过拉撒路集团等单位继续瞄准加密行业企业,目的是窃取加密货币,以规避阻碍其经济增长和野心的国际制裁。”

Kimsuky 带着更新的 FastViewer 恶意软件重新浮出水面#

此次披露之际,S2W 威胁分析团队发现了一款名为 FastViewer 的 Android 间谍软件的更新变种,该变种被名为Kimsuky (又名 APT43 )的朝鲜威胁集群所使用,该集群是 Lazarus Group 的姊妹黑客组织。

朝鲜黑客利用 KANDYKORN macOS 恶意软件瞄准加密专家

FastViewer于 2022 年 10 月首次由韩国网络安全公司记录,它滥用 Android 的辅助服务,通过将自己伪装成看似无害的安全或电子商务应用程序,通过网络钓鱼或短信进行传播,从而从受感染的设备中秘密获取敏感数据。
它还旨在下载名为 FastSpy 的第二阶段恶意软件,该恶意软件基于开源项目 AndroSpy,以执行数据收集和渗透命令。
S2W表示:“该变种至少从 2023 年 7 月就开始生产,与初始版本一样,它被发现通过分发重新打包的 APK 来诱导安装,其中合法应用程序中包含恶意代码。
新版本的一个值得注意的方面是将 FastSpy 的功能集成到 FastViewer 中,从而无需下载额外的恶意软件。尽管如此,S2W 表示“目前还没有这种变种在野外分布的已知案例。”

原文来自: thehackernews.com

原文链接:https://thehackernews.com/2023/11/north-korean-hackers-tageting-crypto.html

欢迎收藏并分享朋友圈,让五邑人网络更安全

朝鲜黑客利用 KANDYKORN macOS 恶意软件瞄准加密专家

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 


原文始发于微信公众号(邑安全):朝鲜黑客利用 KANDYKORN macOS 恶意软件瞄准加密专家

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月2日17:32:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   朝鲜黑客利用 KANDYKORN macOS 恶意软件瞄准加密专家https://cn-sec.com/archives/2169152.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息