In een recente onthulling over cyberbeveiliging, door de staat gesponsorde dreigingsactoren afkomstig uit de Democratische Volksrepubliek Korea (Noord-Korea) Er zijn geïdentificeerd die zich richten op blockchain-ingenieurs die geassocieerd zijn met een niet bekendgemaakt crypto-uitwisselingsplatform.
Mac-malware-evolutie van Lazarus Group
De aanvallers, gekoppeld aan de beruchte Lazarusgroep, een geavanceerd macOS geïmplementeerd malware genaamd KANDYKORN, een nieuw niveau van verfijning van cyberdreigingen wordt getoond.
De aanvallers, die een strategische verandering laat zien, infiltreerden hun doelen via een openbare Discord-server, zich voordoen als blockchain-ingenieurs. Gebruik maken van social engineering-tactieken, slachtoffers werden verleid tot het downloaden en uitvoeren van een ogenschijnlijk onschadelijk ZIP-archief, het verbergen van de kwaadaardige lading.
Beveiligingsonderzoekers Ricardo Ungureanu, Seth Goodwin, en Andrew Pease legden de complexiteit van de aanval uit, waaruit bleek dat de dreigingsactoren slachtoffers lokten met een Python-applicatie, uiteindelijk de omgeving doorbreken via meerdere ingewikkelde fasen, elk maakt gebruik van opzettelijke verdedigingsontduikingstechnieken.
Dit is niet het eerste uitstapje van de Lazarus Group naar macOS-malware. Bij een eerdere aanval was een pdf-applicatie met een achterdeur betrokken, wat leidde tot de inzet van RustBucket, een op AppleScript gebaseerde achterdeur. De nieuwe campagne, echter, onderscheidt zich door technische verfijning te combineren met een innovatieve social engineering-aanpak.
KANDYKORN-malware onthuld
Beschreven als een geavanceerd implantaat, KANDYKORN beschikt over een scala aan mogelijkheden, inclusief monitoring, wisselwerking, en detectievermijding. Gebruik makend van reflecterende belasting, een direct-memory executieformulier, het omzeilt vakkundig traditionele detectiemethoden, bijdragen aan het ongrijpbare karakter ervan.
De levering van de malware omvat een proces dat uit meerdere fasen bestaat, geïnitieerd door een Python-script, “watcher.py,” die volgende scripts ophaalt uit Google Drive. De laatste lading, KANDYKORN, wordt in het geheugen uitgevoerd, het toont een niveau van verfijning dat conventionele cyberbeveiligingsmaatregelen uitdaagt.
De onderzoekers benadrukken dat de DVK, vooral via eenheden als de Lazarus Group, blijft zich inzetten om zich te richten op de crypto-industrie. Hun voornaamste doel is het stelen van cryptocurrencies, het omzeilen van internationale sancties die hun economische groei en ambities belemmeren.
Conclusie
Naarmate cyberdreigingen evolueren, het kruispunt van door de staat gesponsorde actoren, geavanceerde malware, en social engineering vormen een enorme uitdaging voor de cyberbeveiligingsgemeenschap. De KANDYKORN-openbaring onderstreept de noodzaak van voortdurende waakzaamheid, adaptieve verdedigingsmechanismen, en internationale samenwerking om bescherming te bieden tegen de steeds toenemende verfijning van kwaadwillende actoren in de digitale wereld.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: