Kuzey Koreli bilgisayar korsanları, bir kripto para birimi değişim platformunun blockchain mühendislerini hedef almak için KandyKorn adlı yeni MacOS kötü amaçlı yazılımını kullanıyor.
Saldırı
Saldırganlar, Discord’da blockchain mühendisliği topluluğu üyelerinin kimliğine bürünerek, kurbanların kötü amaçlı bir ZIP dosyası indirmesini sağlamak için sosyal mühendislik tekniklerini kullandı.
Kurbanlar, bir arbitraj botu, yani kripto ticaret yazılımı yüklediklerine inanıyorlar, ancak sonunda bir Python dosyası indiriyorlar (Main.py), indirir ve çalıştırır Watcher.pysistemi daha sonraki indirmeler için hazırlamak için kullanılır. Watcher.py Google Drive URL’sinden Sugarloader adlı karışık bir ikili dosyayı getiren birkaç ara düzey Python komut dosyasını indirir ve çalıştırır.
Meşru Discord uygulaması gibi görünen başka bir yükleyici (Hloader), bir kalıcılık mekanizması olarak ve Sugarloader’ı yüklemek için kullanılıyor. Sugarloader, KandyKorn kötü amaçlı yazılımını doğrudan belleğe indirmek ve yürütmek için bir C2 sunucusuyla bağlantı kurar.
KandyKorn yürütme akışı. (Kaynak: Elastic Security Labs)
MacOS KandyKorn kötü amaçlı yazılımı
“İletişim kurulduğunda KandyKorn sunucudan komutlar bekliyor. Bu, kötü amaçlı yazılımın komutları yoklamak yerine komutları beklemesi nedeniyle ilginç bir özelliktir. Bu, oluşturulan uç nokta ve ağ yapılarının sayısını azaltacak ve potansiyel keşfi sınırlamanın bir yolunu sağlayacaktır,” diye açıkladı Elastic Security Labs araştırmacıları.
KandyKorn, şifreli C2 iletişimleri gerçekleştirme, sistemleri numaralandırma, ek kötü amaçlı yükleri yükleme ve yürütme, verileri sıkıştırma ve sızdırma ve daha fazlasını gerçekleştirebilen bir uzaktan erişim truva atıdır (RAT).
“Elastic, Sugarloader ve KandyKorn C2’yi şifrelemek için kullanılan RC4 anahtarı aracılığıyla bu kampanyanın izini Nisan 2023’e kadar sürdü. Araştırmacılar, bu tehdidin hala aktif olduğunu ve araç ve tekniklerin sürekli olarak geliştirildiğini belirtti.
Kripto para şirketleri saldırı altında
Araştırmacılar, kampanyada kullanılan tekniklere, ağ altyapısına ve kod imzalama sertifikalarına ve özel Lazarus Grubu tespit kurallarına dayanarak bu aktiviteyi Kuzey Koreli bilgisayar korsanlarına (yani Lazarus Grubuna) bağladılar.
Son yıllarda Kuzey Koreli bilgisayar korsanları, kripto para birimi şirketlerini hedeflemeye giderek artan bir ilgi gösterdi.
Bu siber saldırılar, Kuzey Kore’nin uluslararası yaptırımları aşmaya ve uluslararası siyasi olarak izole edilmiş devlet için gelir elde etmeye çalıştığı bir dönemde, kripto para birimi endüstrisinin dijital varlıkları ve güvenliği için önemli bir tehdit oluşturuyor.