Dans une récente révélation sur la cybersécurité, acteurs menaçants parrainés par l'État originaires de la République populaire démocratique de Corée (RPDC) ont été identifiés ciblant les ingénieurs blockchain associés à une plateforme d'échange cryptographique non divulguée.
Évolution des logiciels malveillants Mac du groupe Lazarus
Les assaillants, lié à le célèbre groupe Lazarus, déployé un macOS sophistiqué les logiciels malveillants nommé KANDYKORN, présentant un nouveau niveau de sophistication des cybermenaces.
Les attaquants, montrant un changement stratégique, ont infiltré leurs cibles via un serveur Discord public, usurper l'identité d'ingénieurs blockchain. Utiliser des tactiques d’ingénierie sociale, les victimes ont été incitées à télécharger et à exécuter une archive ZIP apparemment anodine, dissimuler la charge utile malveillante.
Chercheurs en sécurité Ricardo Ungureanu, Seth Goodwin, et Andrew Pease a détaillé la complexité de l'attaque, révélant que les auteurs de la menace ont attiré leurs victimes avec une application Python, finalement, violer l'environnement à travers plusieurs étapes complexes, chacun employant des techniques d'évasion de défense délibérées.
Ce n'est pas la première incursion du groupe Lazarus dans le domaine des logiciels malveillants macOS. Une attaque précédente impliquait une application PDF détournée, conduisant au déploiement de RustBucket, une porte dérobée basée sur AppleScript. La nouvelle campagne, cependant, se démarque en alliant sophistication technique et approche innovante d’ingénierie sociale.
Le logiciel malveillant KANDYKORN dévoilé
Décrit comme un implant avancé, KANDYKORN dispose d'une gamme de capacités, y compris la surveillance, interaction, et évitement de détection. Utilisation du chargement réfléchissant, un formulaire d'exécution en mémoire directe, il contourne habilement les méthodes de détection traditionnelles, contribuant à son caractère insaisissable.
La diffusion du malware implique un processus en plusieurs étapes, initié par un script Python, “observateur.py,” qui récupère les scripts suivants de Google Drive. La charge utile finale, KANDYKORN, est exécuté en mémoire, présentant un niveau de sophistication qui défie les mesures conventionnelles de cybersécurité.
Les chercheurs soulignent que la RPDC, notamment à travers des unités comme le Groupe Lazarus, reste déterminé à cibler l’industrie de la cryptographie. Leur objectif premier est de chaparder les cryptomonnaies, contourner les sanctions internationales qui entravent leur croissance économique et leurs ambitions.
Conclusion
À mesure que les cybermenaces évoluent, l’intersection des acteurs parrainés par l’État, malware avancée, et l'ingénierie sociale présente un formidable défi pour la communauté de la cybersécurité. La révélation KANDYKORN souligne la nécessité d’une vigilance constante, mécanismes de défense adaptatifs, et une collaboration internationale pour se prémunir contre la sophistication toujours croissante des acteurs malveillants dans le domaine numérique.