I en nylig afsløring af cybersikkerhed, statssponserede trusselsaktører fra Den Demokratiske Folkerepublik Korea (DPRK) er blevet identificeret rettet mod blockchain-ingeniører forbundet med en ukendt kryptoudvekslingsplatform.
Lazarus Groups Mac Malware Evolution
Overfaldsmændene, knyttet til den berygtede Lazarus-gruppe, implementeret et sofistikeret macOS malware kaldet KANDYKORN, fremviser et nyt niveau af sofistikeret cybertrussel.
Angriberne, viser et strategisk skift, infiltrerede deres mål gennem en offentlig Discord-server, efterligner blockchain-ingeniører. Anvendelse af social engineering taktik, ofre blev lokket til at downloade og udføre et tilsyneladende uskadeligt ZIP-arkiv, at skjule den ondsindede nyttelast.
Sikkerhedsforskere Ricardo Ungureanu, Seth Goodwin, og Andrew Pease detaljerede angrebets kompleksitet, afslørede, at trusselsaktørerne lokkede ofre med en Python-applikation, i sidste ende bryder miljøet gennem flere indviklede faser, hver anvender bevidste forsvars-unddragelsesteknikker.
Dette er ikke Lazarus Groups første indtog i macOS malware. Et tidligere angreb involverede en bagdørs PDF-applikation, fører til udrulningen af RustBucket, en AppleScript-baseret bagdør. Den nye kampagne, dog, adskiller sig ved at blande teknisk sofistikering med en innovativ social engineering tilgang.
KANDYKORN Malware afsløret
Beskrevet som et avanceret implantat, KANDYKORN kan prale af en række funktioner, herunder overvågning, interaktion, og undgåelse af opdagelse. Bruger reflekterende belastning, en udførelsesformular med direkte hukommelse, det omgår dygtigt traditionelle detektionsmetoder, bidrager til dens undvigende natur.
Malwarens levering involverer en flertrinsproces, initieret af et Python-script, “watcher.py,” som henter efterfølgende scripts fra Google Drev. Den endelige nyttelast, KANDYKORN, udføres i hukommelsen, viser et sofistikeret niveau, der udfordrer konventionelle cybersikkerhedsforanstaltninger.
Forskerne understreger, at DPRK, især gennem enheder som Lazarus Group, er fortsat forpligtet til at målrette mod kryptoindustrien. Deres primære mål er at stjæle kryptovalutaer, omgå internationale sanktioner, der hindrer deres økonomiske vækst og ambitioner.
Konklusion
Efterhånden som cybertrusler udvikler sig, skæringspunktet mellem statsstøttede aktører, avanceret malware, og social engineering udgør en formidabel udfordring for cybersikkerhedssamfundet. KANDYKORN-afsløringen understreger behovet for konstant årvågenhed, adaptive forsvarsmekanismer, og internationalt samarbejde for at sikre mod den stadigt voksende sofistikering af ondsindede aktører i den digitale verden.