Recente bevindingen van Elastic Security Labs hebben een complexe cyberinbraak aan het licht gebracht, uitgevoerd door hackers die vermoedelijk gelieerd zijn aan de beruchte Lazarus Group uit Noord-Korea. Deze operatie, getagd als REF7001, maakte gebruik van een nieuwe macOS-malware genaamd Kandykorn. Deze malware was speciaal ontwikkeld om blockchain-ingenieurs die werken aan cryptocurrency-uitwisselingsplatforms aan te vallen.
Ontmaskering van de Kandykorn Malware en zijn bedrieglijke tactieken
Tijdens het incident gebruikten de hackers een bedrieglijk Python-programma dat vermomd was als een cryptocurrency arbitrage-bot. Het unieke aspect van deze aanval was de verspreidingsmethode. De hackers verspreidden de malware via een privébericht op een openbare Discord-server, een strategie die niet vaak wordt gebruikt bij macOS-inbraken. De slachtoffers werden misleid om te geloven dat ze een arbitrage-bot installeerden, een softwaretool die profiteert van de verschillen in cryptocurrency-tarieven tussen platforms, zoals uitgelegd door de onderzoekers van Elastic Security Labs.
Na installatie maakt de Kandykorn malware verbinding met een command-and-control (C2) server. Het maakt gebruik van versleutelde RC4 en gebruikt een uniek handshake-mechanisme. In tegenstelling tot andere malware die actief opdrachten zoekt, wacht Kandykorn geduldig op opdrachten. Deze innovatieve aanpak stelt hackers in staat om onopvallend controle te houden over de gecompromitteerde systemen.
Verbinding leggen tussen Kandykorn en de Lazarus Group
Elastic Security Labs heeft belangrijke inzichten geboden in de mogelijkheden van Kandykorn, waarbij de bekwaamheid om bestanden te uploaden en te downloaden, processen te manipuleren en willekeurige systeemopdrachten uit te voeren, wordt benadrukt. Het gebruik van reflectieve binaire lading, een fileless uitvoeringstechniek die geassocieerd wordt met de Lazarus Group, is bijzonder zorgwekkend. De Lazarus Group staat bekend om zijn betrokkenheid bij diefstal van cryptocurrency en ontduiking van internationale sancties.
Er is overtuigend bewijs dat deze aanval in verband staat met de Lazarus Group in Noord-Korea. De overeenkomst in technieken, netwerkinfrastructuur, certificaten die worden gebruikt om schadelijke software te ondertekenen, en aangepaste methoden om Lazarus Group-activiteiten op te sporen, wijzen allemaal in de richting van hun betrokkenheid. On-chain transacties hebben verbindingen aangetoond tussen beveiligingsinbraken bij Atomic Wallet, Alphapo, CoinsPaid, Stake.com en CoinEx. Deze links bevestigen verder de betrokkenheid van de Lazarus Group bij deze exploits.
Bescherming tegen geavanceerde cyberbedreigingen
In een ander recent incident probeerde de Lazarus Group Apple-computers met macOS te compromitteren door gebruikers te misleiden om een crypto handelsapplicatie van GitHub te downloaden. Nadat de gebruikers de software hadden geïnstalleerd en deze administratieve toegang hadden verleend, kregen de aanvallers achterdeurtoegang tot het besturingssysteem, waardoor op afstand toegang mogelijk was.
Door deze details bloot te leggen, heeft Elastic Security Labs de geavanceerde tactieken van de Lazarus Group verduidelijkt, waarbij de noodzaak van sterke cybersecuritymaatregelen wordt benadrukt om u tegen dergelijke bedreigingen te beschermen. Om op de hoogte te blijven van deze voortdurend evoluerende bedreigingen, kunt u overwegen tools zoals cryptoview.io te gebruiken, die kunnen helpen bij het monitoren en beschermen van uw digitale activa.
