Nylige funn fra Elastic Security Labs har avdekket et komplekst cyberangrep utført av hackere som antas å være knyttet til den beryktede Lazarus Group fra Nord-Korea. Denne operasjonen, merket som REF7001, inkorporerte en ny macOS malware kjent som Kandykorn. Denne malwaren var presist utviklet for å angripe blockchain-ingeniører som jobber med kryptobørsplattformer.
Avsløring av Kandykorn Malware og dens bedragerske taktikk
Hackerne brukte en bedragersk Python-program som var forkledd som en kryptobørgebot under hendelsen. Det unike med dette angrepet var distribusjonsmetoden. Hackerne spredte malwaren gjennom en privat melding på en offentlig Discord-server, en strategi som ikke vanligvis brukes i macOS-angrep. Ofrene ble ledet til å tro at de installerte en arbitragebot, et programvareverktøy som utnytter forskjellene i kryptovalutakurser mellom plattformer, som forklart av forskerne ved Elastic Security Labs.
Ved installasjon initierer Kandykorn malware en tilkobling til en kommando-og-kontroll (C2) server. Den bruker kryptert RC4 og bruker en unik håndtrykkmekanisme. I motsetning til annen malware som aktivt søker kommandoer, venter Kandykorn tålmodig på dem. Denne innovative tilnærmingen gjør det mulig for hackerne å opprettholde kontrollen over de kompromitterte systemene diskret.
Sammenkobling av Kandykorn og Lazarus Group
Elastic Security Labs har gitt betydelige innsikter i Kandykorns evner, og fremhevet dens dyktighet i å laste opp og laste ned filer, manipulere prosesser og utføre vilkårlige systemkommandoer. Bruken av reflekterende binærlasting, en filfri kjøringsteknikk assosiert med Lazarus Group, er spesielt bekymringsfull. Lazarus Group er beryktet for sin involvering i kryptotyveri og unndragelse av internasjonale sanksjoner.
Det er overbevisende bevis som knytter dette angrepet til Lazarus Group i Nord-Korea. Likheter i teknikker, nettverksinfrastruktur, sertifikater brukt til å signere skadelig programvare og egendefinerte metoder for å oppdage Lazarus Group-aktiviteter, peker alle på deres involvering. On-chain transaksjoner har avdekket forbindelser mellom sikkerhetsbrudd hos Atomic Wallet, Alphapo, CoinsPaid, Stake.com og CoinEx. Disse koblingene bekrefter ytterligere Lazarus Groups involvering i disse angrepene.
Beskyttelse mot sofistikerte cybertrusler
I en annen nylig hendelse forsøkte Lazarus Group å kompromittere Apple-datamaskiner som kjører macOS ved å lure brukerne til å laste ned en kryptohandelsapp fra GitHub. Når brukerne installerte programvaren og ga den administrativ tilgang, fikk angriperne bakdørtilgang til operativsystemet, noe som tillot fjernadgang.
Ved å avdekke disse detaljene har Elastic Security Labs belyst de sofistikerte taktikkene som Lazarus Group bruker, og understreket behovet for sterke cybersikkerhetstiltak for å beskytte seg mot slike trusler. For å holde deg oppdatert på disse utviklende truslene, kan du vurdere å bruke verktøy som cryptoview.io, som kan hjelpe deg med overvåking og beskyttelse av digitale eiendeler.
