Neueste Erkenntnisse von Elastic Security Labs haben einen komplexen Cyberangriff enthüllt, der von Hackern durchgeführt wurde, die angeblich mit der berüchtigten Lazarus-Gruppe aus Nordkorea in Verbindung stehen. Diese Operation, mit dem Namen REF7001, verwendete eine neuartige macOS-Malware namens Kandykorn. Diese Malware wurde gezielt entwickelt, um Blockchain-Ingenieure, die an Kryptowährungsbörsen arbeiten, anzugreifen.
Enttarnung der Kandykorn-Malware und ihrer täuschenden Taktiken
Bei dem Vorfall verwendeten die Hacker ein hinterlistiges Python-Programm, das als Kryptowährungs-Arbitrage-Bot getarnt war. Das Besondere an diesem Angriff war die Verbreitungsmethode. Die Hacker verbreiteten die Malware über eine private Nachricht auf einem öffentlichen Discord-Server, eine Strategie, die bei macOS-Angriffen nicht üblich ist. Die Opfer glaubten, dass sie einen Arbitrage-Bot installierten, ein Software-Tool, das die Unterschiede in den Kryptowährungskursen zwischen Plattformen nutzt, wie von den Forschern von Elastic Security Labs erläutert.
Nach der Installation stellt die Kandykorn-Malware eine Verbindung zu einem Command-and-Control (C2)-Server her. Sie verwendet verschlüsseltes RC4 und verwendet einen einzigartigen Handshake-Mechanismus. Im Gegensatz zu anderen Malware sucht Kandykorn geduldig nach Befehlen. Dieser innovative Ansatz ermöglicht es Hackern, die kompromittierten Systeme diskret zu kontrollieren.
Verbindung von Kandykorn und der Lazarus-Gruppe
Elastic Security Labs hat bedeutende Einblicke in die Fähigkeiten von Kandykorn geboten und dabei seine Fähigkeit zur Dateiübertragung und -herunterladung, zur Manipulation von Prozessen und zur Ausführung beliebiger Systembefehle hervorgehoben. Besondere Besorgnis erregt die Verwendung des reflektiven Binär-Loadings, einer dateilosen Ausführungstechnik, die mit der Lazarus-Gruppe in Verbindung gebracht wird. Die Lazarus-Gruppe ist für ihre Beteiligung an Kryptowährungsdiebstahl und Umgehung internationaler Sanktionen berüchtigt.
Es gibt überzeugende Beweise, die diesen Angriff mit der Lazarus-Gruppe in Nordkorea in Verbindung bringen. Die Ähnlichkeit der Techniken, der Netzwerkinfrastruktur, der Zertifikate, die zur Signierung schädlicher Software verwendet werden, und der benutzerdefinierten Methoden zur Erkennung von Aktivitäten der Lazarus-Gruppe weisen alle auf ihre Beteiligung hin. On-Chain-Transaktionen haben Verbindungen zwischen Sicherheitsverletzungen bei Atomic Wallet, Alphapo, CoinsPaid, Stake.com und CoinEx aufgedeckt. Diese Verbindungen bestätigen weiterhin die Beteiligung der Lazarus-Gruppe an diesen Angriffen.
Schutz vor raffinierten Cyberbedrohungen
In einem weiteren Vorfall versuchte die Lazarus-Gruppe, Apple-Computer mit macOS zu kompromittieren, indem sie Benutzer dazu brachte, eine Krypto-Handels-App von GitHub herunterzuladen. Sobald die Benutzer die Software installiert und ihr administrative Zugriffsrechte gewährt hatten, erlangten die Angreifer einen Hintereingang in das Betriebssystem, der eine Fernzugriff ermöglichte.
Indem Elastic Security Labs diese Details aufgedeckt hat, wurden die raffinierten Taktiken der Lazarus-Gruppe verdeutlicht, was die Notwendigkeit starker Cybersicherheitsmaßnahmen zum Schutz vor solchen Bedrohungen unterstreicht. Um über diese sich entwickelnden Bedrohungen auf dem Laufenden zu bleiben, sollten Sie Tools wie cryptoview.io in Betracht ziehen, die bei der Überwachung und Sicherung Ihrer digitalen Vermögenswerte helfen können.
Bleiben Sie wachsam und schützen Sie Ihre digitalen Vermögenswerte
