Elastic Security Labsの最近の調査結果によれば、北朝鮮の悪名高いLazarusグループに関連するハッカーによる複雑なサイバー侵害が明らかになりました。この作戦、タグ付けされたREF7001は、Kandykornとして知られる新しいmacOSマルウェアを取り入れています。このマルウェアは、仮想通貨取引所プラットフォームで作業しているブロックチェーンエンジニアを標的とするために精巧に設計されています。
Kandykornマルウェアとその欺瞞的な戦術の暴露
この事件では、ハッカーが仮想通貨の裁定取引ボットに変装した二重のPythonプログラムを使用しました。この攻撃の特異な側面は、配布方法です。ハッカーは、macOSの侵害では一般的に使用されない戦略として、公共のDiscordサーバー上のプライベートメッセージを介してマルウェアを拡散しました。被害者は、Elastic Security Labsの研究者によって明らかにされたように、プラットフォーム間の仮想通貨のレートの違いを活用するソフトウェアツールである裁定取引ボットをインストールしていると信じ込まされました。
Kandykornマルウェアのインストール時には、コマンドアンドコントロール(C2)サーバーとの接続が開始されます。これは、暗号化されたRC4を使用し、ユニークなハンドシェイクメカニズムを利用しています。他のマルウェアが積極的にコマンドを探し求めるのとは異なり、Kandykornは静かにそれを待ちます。この革新的なアプローチにより、ハッカーは侵害されたシステムを悄然と制御することができます。
KandykornとLazarusグループの関連
Elastic Security Labsは、Kandykornの能力について重要な洞察を提供し、ファイルのアップロードとダウンロード、プロセスの操作、および任意のシステムコマンドの実行など、その能力を強調しています。Lazarusグループに関連するファイルレス実行技術であるリフレクティブバイナリローディングの使用は特に懸念されます。Lazarusグループは、仮想通貨の窃盗や国際制裁の回避で有名です。
この攻撃を北朝鮮のLazarusグループと関連付けるための有力な証拠があります。技術の類似性、ネットワークインフラストラクチャ、悪意のあるソフトウェアに署名するために使用される証明書、およびLazarusグループの活動を検出するためのカスタムメソッドなど、すべてが彼らの関与を示しています。オンチェーンのトランザクションによって、Atomic Wallet、Alphapo、CoinsPaid、Stake.com、CoinExでのセキュリティ侵害との関連が明らかになりました。これらのリンクは、Lazarusグループのこれらの攻撃への関与をさらに裏付けています。
高度なサイバー脅威に対する保護
別の最近の事件では、LazarusグループがGitHubからクリプトトレーディングアプリをダウンロードさせることで、macOSを実行するAppleコンピュータを侵害しようとしました。ユーザーがソフトウェアをインストールし、管理者アクセスを許可すると、攻撃者はオペレーティングシステムにバックドアエントリーを獲得し、リモートアクセスが可能になります。
Elastic Security Labsは、Lazarusグループが使用する洗練された戦術を明らかにし、このような脅威に対する強力なサイバーセキュリティ対策の必要性を強調しています。これらの進化する脅威に対応するために、cryptoview.ioのようなツールを使用してデジタル資産を監視し保護することを検討してください。
