Elastic Security Labs的最新发现揭示了一次由被认为与朝鲜的臭名昭著的拉萨骚动有关的黑客执行的复杂网络入侵。这次操作被标记为REF7001,其中使用了一种称为Kandykorn的新型macOS恶意软件。该恶意软件被精确地设计用于攻击在加密货币交易平台上工作的区块链工程师。
揭开Kandykorn恶意软件及其欺骗性战术
此事件中,黑客使用了一个伪装成加密货币套利机器人的欺骗性Python程序。这次攻击的独特之处在于分发方法。黑客通过在公共Discord服务器上的私人消息中传播了该恶意软件,这是在macOS入侵中不常见的策略。受害者被误导以为他们正在安装一个套利机器人,即一种利用不同平台之间的加密货币汇率差异的软件工具,正如Elastic Security Labs的研究人员所阐述的那样。
安装后,Kandykorn恶意软件与命令和控制(C2)服务器建立连接。它使用加密的RC4并使用独特的握手机制。与主动寻找命令的其他恶意软件不同,Kandykorn会耐心地等待命令。这种创新的方法使黑客能够悄悄地控制被入侵的系统。
将Kandykorn与拉萨骚动联系起来
Elastic Security Labs对Kandykorn的能力提供了重要的见解,突出了它在执行文件上传和下载、操纵进程和执行任意系统命令方面的熟练程度。该恶意软件使用的反射式二进制加载是与拉萨骚动有关的一种无文件执行技术,这引起了特别关注。拉萨骚动因其参与加密货币盗窃和逃避国际制裁而臭名昭著。
有令人信服的证据将这次攻击与朝鲜的拉萨骚动联系起来。在技术、网络基础设施、用于签署恶意软件的证书以及用于检测拉萨骚动活动的自定义方法上的相似之处都表明了他们的参与。链上交易揭示了Atomic Wallet、Alphapo、CoinsPaid、Stake.com和CoinEx在安全漏洞方面的联系。这些链接进一步证实了拉萨骚动参与了这些攻击。
防范复杂的网络威胁
最近的另一起事件中,拉萨骚动试图通过欺骗用户从GitHub下载加密交易应用程序来入侵运行macOS的苹果计算机。一旦用户安装了该软件并授予了管理员访问权限,攻击者就能够远程访问操作系统。
通过揭示这些细节,Elastic Security Labs揭示了拉萨骚动所采用的复杂战术,强调了需要采取强大的网络安全措施来防范此类威胁。要及时了解这些不断演变的威胁,请考虑使用像cryptoview.io这样的工具,它可以帮助监控和保护您的数字资产。
