Nyligen presenterade Elastic Security Labs resultat från en omfattande cyberattack utförd av hackare som tros vara kopplade till den ökända nordkoreanska gruppen Lazarus Group. Denna operation, kallad REF7001, använde en ny macOS-malware som kallas Kandykorn. Denna malware var noggrant utformad för att rikta in sig på blockkedjeingenjörer som arbetar på kryptobörsplattformar.
Avslöjande av Kandykorn-malwaren och dess bedrägliga taktiker
Hackarna använde sig i detta fall av ett bedrägligt Python-program förklätt till en kryptovaluta-arbitragebot. En unik aspekt av denna attack var distributionsmetoden. Hackarna spred malwares genom ett privat meddelande på en offentlig Discord-server, en strategi som inte vanligtvis används vid macOS-attacker. Offren fick tro att de installerade en arbitragebot, en programvara som utnyttjar skillnaderna i kryptovalutor mellan olika plattformar, som förklarades av Elastic Security Labs forskare.
Vid installation initierar Kandykorn-malwaren en anslutning till en kommando- och kontrollserver (C2). Den använder krypterad RC4 och använder en unik handskakningsmekanism. Till skillnad från annan malware som aktivt söker efter kommandon, väntar Kandykorn tålmodigt på dem. Detta innovativa tillvägagångssätt gör att hackarna kan behålla kontrollen över de komprometterade systemen diskret.
Kopplingen mellan Kandykorn och Lazarus Group
Elastic Security Labs har gett värdefulla insikter i Kandykorns förmågor, särskilt dess förmåga att ladda upp och ladda ner filer, manipulera processer och utföra godtyckliga systemkommandon. Malwarens användning av reflektiv binär laddning, en filösa exekveringsteknik associerad med Lazarus Group, är särskilt oroande. Lazarus Group är ökända för sin inblandning i stölder av kryptovalutor och undvikande av internationella sanktioner.
Det finns övertygande bevis som kopplar denna attack till Lazarus Group i Nordkorea. Likheterna i tekniker, nätverksinfrastruktur, certifikat som används för att signera skadlig programvara och anpassade metoder för att upptäcka Lazarus Groups aktiviteter pekar alla på deras inblandning. Transaktioner på blockkedjan har avslöjat kopplingar mellan säkerhetsintrång på Atomic Wallet, Alphapo, CoinsPaid, Stake.com och CoinEx. Dessa kopplingar bekräftar ytterligare Lazarus Groups inblandning i dessa angrepp.
Skydd mot sofistikerade cyberhot
I ett annat nyligen inträffat fall försökte Lazarus Group kompromettera Apple-datorer som kör macOS genom att lura användare att ladda ner en kryptovalutahandelsapp från GitHub. När användarna installerade programvaran och gav den administrativ åtkomst, fick angriparna bakdörrstillgång till operativsystemet och möjlighet till fjärråtkomst.
Genom att avslöja dessa detaljer har Elastic Security Labs belyst Lazarus Groups sofistikerade taktiker och understrukit behovet av robusta cybersäkerhetsåtgärder för att skydda sig mot sådana hot. För att hålla sig uppdaterad om dessa ständigt föränderliga hot kan man använda verktyg som cryptoview.io, som kan hjälpa till med övervakning och skydd av digitala tillgångar.
