Ostatnie ustalenia z Elastic Security Labs ujawniły złożone naruszenie cyberbezpieczeństwa przeprowadzone przez hakerów, których uważa się za związanych z niesławna grupą Lazarus z Korei Północnej. Operacja ta, oznaczona jako REF7001, wykorzystywała nowatorskie złośliwe oprogramowanie dla systemu macOS, znane jako Kandykorn. To oprogramowanie było precyzyjnie zaprojektowane, aby atakować inżynierów blockchain pracujących na platformach wymiany kryptowalut.
Odkrywanie złośliwego oprogramowania Kandykorn i jego zwodnicze taktyki
Podczas incydentu hakerzy używali dwulicowego programu Pythona, który udawał kryptowalutowego bota arbitrażowego. Unikalnym aspektem tego ataku była metoda dystrybucji. Hakerzy rozpowszechniali złośliwe oprogramowanie za pośrednictwem prywatnej wiadomości na publicznym serwerze Discord, co nie jest powszechnie stosowane w przypadku naruszeń systemu macOS. Ofiary zostały wprowadzone w błąd, że instalują bota arbitrażowego, czyli narzędzie programowe, które korzysta z różnic w kursach kryptowalut między platformami, jak wyjaśnili badacze z Elastic Security Labs.
Po zainstalowaniu złośliwe oprogramowanie Kandykorn nawiązuje połączenie z serwerem kontrolnym (C2). Wykorzystuje ono szyfrowanie RC4 i unikalny mechanizm podawania ręki. W odróżnieniu od innych złośliwych oprogramowań, które aktywnie szukają poleceń, Kandykorn cierpliwie na nie czeka. Ta innowacyjna metoda pozwala hakerom dyskretnie utrzymywać kontrolę nad zainfekowanymi systemami.
Powiązanie złośliwego oprogramowania Kandykorn z grupą Lazarus
Elastic Security Labs przedstawił istotne informacje na temat możliwości złośliwego oprogramowania Kandykorn, podkreślając jego umiejętność przesyłania i pobierania plików, manipulowania procesami oraz wykonywania dowolnych poleceń systemowych. Szczególnie niepokojące jest wykorzystanie przez to oprogramowanie techniki ładowania plików refleksyjnych, która jest charakterystyczna dla grupy Lazarus. Grupa Lazarus jest notoryczna z powodu swojego zaangażowania w kradzież kryptowalut i unikanie międzynarodowych sankcji.
Istnieją przekonujące dowody łączące ten atak z grupą Lazarus z Korei Północnej. Podobieństwo technik, infrastruktury sieciowej, certyfikatów używanych do podpisywania złośliwego oprogramowania oraz niestandardowe metody wykrywania działań grupy Lazarus wskazują na ich udział. Transakcje na łańcuchu bloków ujawniły powiązania między naruszeniami zabezpieczeń w Atomic Wallet, Alphapo, CoinsPaid, Stake.com i CoinEx. Te połączenia dalsze potwierdzają zaangażowanie grupy Lazarus w te ataki.
Ochrona przed zaawansowanymi zagrożeniami cybernetycznymi
W innym niedawnym incydencie grupa Lazarus próbowała naruszyć komputery Apple z systemem macOS, wprowadzając użytkowników w błąd, aby pobrali aplikację do handlu kryptowalutami z serwisu GitHub. Po zainstalowaniu oprogramowania i przyznaniu mu uprawnień administratora, atakujący uzyskiwali dostęp do systemu operacyjnego, co pozwalało na zdalne sterowanie.
Dzięki odkryciu tych szczegółów Elastic Security Labs oświetlił zaawansowane taktyki stosowane przez grupę Lazarus, podkreślając konieczność stosowania silnych środków bezpieczeństwa cybernetycznego w celu ochrony przed tego rodzaju zagrożeniami. Aby być na bieżąco z tymi ewoluującymi zagrożeniami, warto skorzystać z narzędzi takich jak cryptoview.io, które mogą pomóc w monitorowaniu i zabezpieczaniu cyfrowych aktywów.
