Nylige fund fra Elastic Security Labs har afsløret et komplekst cyberangreb udført af hackere, der menes at være knyttet til den berygtede Lazarus Group fra Nordkorea. Denne operation, mærket som REF7001, inkluderede en ny macOS malware kendt som Kandykorn. Denne malware blev præcist designet til at angribe blockchain-ingeniører, der arbejder på kryptobørsplatforme.
Afdækning af Kandykorn Malware og dens bedrageriske taktik
Episoden så hackere bruge et bedragerisk Python-program, der var camoufleret som en kryptobørs arbitrage bot. Det unikke ved dette angreb var distributionsmetoden. Hackerne spredte malwaren gennem en privat besked på en offentlig Discord-server, en strategi der ikke normalt bruges i macOS-angreb. Ofrene blev ført til at tro, at de installerede en arbitrage bot, et softwareværktøj der udnytter forskellene i kryptobørsrater mellem platforme, som det blev uddybet af Elastic Security Labs’ forskere.
Efter installationen opretter Kandykorn malwaren forbindelse til en kommando- og kontrolserver (C2). Den bruger krypteret RC4 og anvender en unik handshake-mekanisme. I modsætning til anden malware, der aktivt søger efter kommandoer, venter Kandykorn tålmodigt på dem. Denne innovative tilgang giver hackere mulighed for at opretholde kontrol over de kompromitterede systemer diskret.
Forbindelse mellem Kandykorn og Lazarus Group
Elastic Security Labs har givet betydelige indsigter i Kandykorns evner og fremhævet dens dygtighed til at udføre filupload og -download, manipulere processer og udføre vilkårlige systemkommandoer. Malwarens brug af refleksiv binær indlæsning, en filfri eksekveringsteknik forbundet med Lazarus Group, er af særlig bekymring. Lazarus Group er berygtet for sin involvering i kryptotyveri og undvigelse af internationale sanktioner.
Der er overbevisende beviser, der forbinder dette angreb med Lazarus Group i Nordkorea. Ligheden i teknikker, netværksinfrastruktur, certifikater, der anvendes til at signere ondsindet software, og brugerdefinerede metoder til at opdage Lazarus Groups aktiviteter, peger alle i retning af deres involvering. On-chain transaktioner har afsløret forbindelser mellem sikkerhedsbrud hos Atomic Wallet, Alphapo, CoinsPaid, Stake.com og CoinEx. Disse forbindelser bekræfter yderligere Lazarus Groups involvering i disse angreb.
Beskyttelse mod sofistikerede cybertrusler
I en anden nylig hændelse forsøgte Lazarus Group at kompromittere Apple-computere, der kører macOS, ved at narre brugerne til at downloade en kryptohandel-app fra GitHub. Når brugerne installerede softwaren og gav den administrativ adgang, fik angriberne bagdør-adgang til operativsystemet, hvilket tillod fjernadgang.
Ved at afsløre disse detaljer har Elastic Security Labs belyst de sofistikerede taktikker, som Lazarus Group anvender, og understreger behovet for stærke cybersikkerhedsforanstaltninger for at beskytte sig mod sådanne trusler. For at holde sig opdateret om disse udviklende trusler kan det være en god idé at bruge værktøjer som cryptoview.io, der kan hjælpe med at overvåge og beskytte dine digitale aktiver.
