Недавние результаты исследований от Elastic Security Labs раскрыли сложное кибер-нарушение, выполненное хакерами, которых считают связанными с печально известной группой Лазарь из Северной Кореи. Эта операция, помеченная как REF7001, использовала новое вредоносное ПО для macOS, известное как Kandykorn. Это вредоносное ПО было точно создано для атаки на блокчейн-инженеров, работающих на платформах обмена криптовалютой.
Раскрытие вредоносного ПО Kandykorn и его хитрых тактик
В ходе инцидента хакеры использовали двуликию программу на языке Python, замаскированную под арбитражного бота для криптовалюты. Уникальным аспектом этой атаки был метод распространения. Хакеры распространяли вредоносное ПО через личные сообщения на публичном сервере Discord, стратегия, которая не используется обычно при нарушениях в macOS. Жертвы были убеждены, что они устанавливают арбитражного бота — программное обеспечение, которое использует различия в курсах криптовалюты между платформами, как разъяснили исследователи Elastic Security Labs.
После установки вредоносное ПО Kandykorn устанавливает соединение с сервером управления командами (C2). Оно использует шифрование RC4 и уникальный механизм рукопожатия. В отличие от других вредоносных программ, которые активно ищут команды, Kandykorn терпеливо ждет их. Такой инновационный подход позволяет хакерам скрыто управлять скомпрометированными системами.
Связь вредоносного ПО Kandykorn и группы Лазарь
Elastic Security Labs предоставили значительные сведения о возможностях Kandykorn, подчеркнув его способность выполнять загрузку и скачивание файлов, манипулировать процессами и выполнять произвольные системные команды. Особое беспокойство вызывает использование вредоносным ПО техники рефлексивной двоичной загрузки, связанной с группой Лазарь. Группа Лазарь прославилась своим участием в краже криптовалюты и уклонении от международных санкций.
Есть убедительные доказательства связи этой атаки с группой Лазарь в Северной Корее. Сходство в методах, сетевой инфраструктуре, сертификатах, используемых для подписи вредоносного ПО, и специальных методах обнаружения деятельности группы Лазарь указывают на их участие. Он-чейн транзакции показали связи между нарушениями безопасности в Atomic Wallet, Alphapo, CoinsPaid, Stake.com и CoinEx. Эти связи дополнительно подтверждают участие группы Лазарь в этих эксплойтах.
Защита от сложных кибер-угроз
В другом недавнем случае группа Лазарь попыталась взломать компьютеры Apple с macOS, обманывая пользователей, чтобы они загрузили приложение для крипто-трейдинга с GitHub. После установки программного обеспечения и предоставления ему административного доступа, злоумышленники получали задний доступ к операционной системе, позволяя удаленный доступ.
Обнаружив эти детали, Elastic Security Labs осветили сложные тактики, применяемые группой Лазарь, подчеркивая необходимость принятия мощных мер кибербезопасности для защиты от таких угроз. Чтобы быть в курсе этих развивающихся угроз, рассмотрите возможность использования инструментов, таких как cryptoview.io, которые могут помочь в отслеживании и защите ваших цифровых активов.
