Des découvertes récentes du laboratoire Elastic Security ont révélé une cyberattaque complexe menée par des pirates supposés liés au tristement célèbre groupe Lazarus de Corée du Nord. Cette opération, appelée REF7001, a utilisé un nouveau malware macOS connu sous le nom de Kandykorn. Ce malware a été spécifiquement conçu pour cibler les ingénieurs en blockchain travaillant sur des plateformes d’échange de cryptomonnaies.
Démystification du malware Kandykorn et de ses tactiques trompeuses
L’incident a vu les pirates utiliser un programme Python trompeur déguisé en bot d’arbitrage de cryptomonnaies. L’aspect unique de cette attaque était la méthode de distribution. Les pirates ont diffusé le malware via un message privé sur un serveur Discord public, une stratégie rarement utilisée dans les attaques macOS. Les victimes étaient convaincues qu’elles installaient un bot d’arbitrage, un outil logiciel qui tire parti des différences de taux de change des cryptomonnaies entre les plateformes, comme l’ont expliqué les chercheurs d’Elastic Security Labs.
Une fois installé, le malware Kandykorn établit une connexion avec un serveur de commande et de contrôle (C2). Il utilise le chiffrement RC4 et un mécanisme de poignée de main unique. Contrairement à d’autres malwares qui recherchent activement des commandes, Kandykorn les attend patiemment. Cette approche innovante permet aux pirates de maintenir discrètement le contrôle des systèmes compromis.
Lien entre Kandykorn et le groupe Lazarus
Elastic Security Labs a fourni des informations significatives sur les capacités de Kandykorn, mettant en évidence sa compétence dans l’upload et le téléchargement de fichiers, la manipulation de processus et l’exécution de commandes système arbitraires. L’utilisation par le malware du chargement binaire réfléchi, une technique d’exécution sans fichier associée au groupe Lazarus, est particulièrement préoccupante. Le groupe Lazarus est tristement connu pour son implication dans le vol de cryptomonnaies et l’évasion des sanctions internationales.
Il existe des preuves convaincantes liant cette attaque au groupe Lazarus en Corée du Nord. La similitude des techniques, de l’infrastructure réseau, des certificats utilisés pour signer les logiciels malveillants et des méthodes personnalisées de détection des activités du groupe Lazarus indiquent toutes leur implication. Des transactions on-chain ont révélé des liens entre des violations de sécurité chez Atomic Wallet, Alphapo, CoinsPaid, Stake.com et CoinEx. Ces liens confirment encore l’implication du groupe Lazarus dans ces exploits.
Protection contre les menaces cybernétiques sophistiquées
Dans un autre incident récent, le groupe Lazarus a tenté de compromettre des ordinateurs Apple fonctionnant sous macOS en trompant les utilisateurs pour qu’ils téléchargent une application de trading de cryptomonnaies depuis GitHub. Une fois que les utilisateurs ont installé le logiciel et lui ont accordé un accès administratif, les attaquants ont obtenu une entrée dérobée dans le système d’exploitation, permettant un accès à distance.
En dévoilant ces détails, Elastic Security Labs a mis en lumière les tactiques sophistiquées utilisées par le groupe Lazarus, soulignant la nécessité de mesures de cybersécurité solides pour se protéger contre de telles menaces. Pour suivre l’évolution de ces menaces, envisagez d’utiliser des outils comme cryptoview.io, qui peuvent aider à surveiller et à protéger vos actifs numériques.
