Kötü şöhretli Kuzey Koreli gelişmiş kalıcı tehdit (APT) grubu Lazarus, kripto para borsalarına bağlı blockchain mühendislerini hedeflemek için kullandığı “KandyKorn” adlı bir tür macOS kötü amaçlı yazılım geliştirdi.
Elastic Security Labs tarafından hazırlanan bir rapora göre KandyKorn, kripto para birimi hizmetleri ve uygulamaları da dahil olmak üzere kurbanın bilgisayarındaki her türlü veriyi tespit etmek, bu verilere erişmek ve bu verileri çalmak için tam özellikli yeteneklere sahip.
Bunu gerçekleştirmek için Lazarus, kripto para arbitraj botu (kripto para birimi değişim platformları arasındaki kripto para oranlarındaki farktan kâr elde edebilen bir yazılım aracı) kılığına giren bir Python uygulamasını içeren çok aşamalı bir yaklaşımı benimsedi. Uygulama, “config.py” ve “pricetable.py” gibi yanıltıcı adlar içeriyordu ve herkese açık bir Discord sunucusu aracılığıyla dağıtılıyordu.
Grup daha sonra kurbanlarını, botu içerdiği iddia edilen bir zip arşivini indirip geliştirme ortamlarına açmaya teşvik etmek için sosyal mühendislik tekniklerini kullandı. Gerçekte dosya, kötü amaçlı kod içeren önceden oluşturulmuş bir Python uygulaması içeriyordu.
Elastic Security uzmanları, saldırının kurbanlarının bir arbitraj botu yüklediklerine inandıklarını ancak Python uygulamasının başlatılmasının, KandyKorn kötü amaçlı aracının konuşlandırılmasıyla sonuçlanan çok adımlı bir kötü amaçlı yazılım akışının yürütülmesini başlattığını söyledi.
KandyKorn Kötü Amaçlı Yazılımının Bulaşma Rutini
Saldırı, Watcher.py’yi içe aktaran Main.py’nin yürütülmesiyle başlar. Bu komut dosyası Python sürümünü kontrol eder, yerel dizinleri ayarlar ve iki komut dosyasını doğrudan Google Drive’dan alır: TestSpeed.py ve FinderTools.
Bu komut dosyaları, makineye ilk erişimi vermekten ve kötü amaçlı yazılımın son aşamalarını hazırlamaktan sorumlu olan ve Hloader adı verilen bir aracı da içeren, Sugarloader adı verilen karmaşık bir ikili dosyayı indirmek ve yürütmek için kullanılır.
Tehdit ekibi, kötü amaçlı yazılım dağıtım yolunun tamamını izlemeyi başardı ve KandyKorn’un yürütme zincirinin son aşaması olduğu sonucuna vardı.
KandyKorn işlemleri daha sonra bilgisayar korsanlarının sunucusuyla iletişim kurarak sunucunun dallanıp arka planda çalışmasına olanak tanıyor.
Analize göre kötü amaçlı yazılım, cihazı ve yüklü uygulamaları yoklamıyor ancak bilgisayar korsanlarından doğrudan komutlar bekliyor; bu da oluşturulan uç noktaların ve ağ yapıtlarının sayısını azaltarak tespit olasılığını sınırlıyor.
Tehdit grubu ayrıca, kötü amaçlı yazılımın çoğu algılama programını atlamasına yardımcı olan bir gizleme tekniği olarak yansıtıcı ikili yüklemeyi de kullandı.
Raporda, “Düşmanlar, geleneksel statik imza tabanlı kötü amaçlı yazılımdan koruma yeteneklerini atlatmak için genellikle bunun gibi gizleme tekniklerini kullanıyor” ifadesine yer verildi.
Kripto Para Borsaları Ateş Altında
Kripto para borsaları 2023’te bir dizi özel anahtar hırsızlığı saldırısına maruz kaldı ve bunların çoğu, haksız kazançlarını Kuzey Kore rejimini finanse etmek için kullanan Lazarus grubuna atfedildi. FBI kısa süre önce grubun birden fazla kripto para birimi soygunundan 1.580 Bitcoin’i taşıdığını ve fonları altı farklı Bitcoin adresinde tuttuğunu tespit etti.
Eylül ayında saldırganların, en az Kasım 2021’den bu yana devam eden bir kripto para hırsızlığı kampanyasında meşru bir Windows yükleme aracının kötü amaçlı sürümleriyle 3D modelleyicileri ve grafik tasarımcılarını hedef aldığı keşfedildi.
Bir ay önce araştırmacılar, CherryBlos ve FakeTrade adlı, kripto para hırsızlığı ve diğer mali amaçlı dolandırıcılıklar nedeniyle Android kullanıcılarını hedef alan iki ilgili kötü amaçlı yazılım kampanyasını ortaya çıkarmıştı.
DPKR’den Büyüyen Tehdit
Mandiant’ın yakın tarihli bir raporunda, Kore Demokratik Halk Cumhuriyeti’ndeki (DPRK) çeşitli APT’ler arasında benzeri görülmemiş bir işbirliğinin, onları takip etmeyi zorlaştırdığı ve stratejik müdahale çabaları gerektiren agresif, karmaşık siber saldırılara zemin hazırladığı konusunda uyardı.
Örneğin, ülkenin lideri Kim Jong Un’un, dallarını dünya çapında yaymaya devam eden, Kimsuky adında bir İsviçre Çakısı APT’si var; bu da araştırmacıların yaklaşmasından korkmadığını gösteriyor. Kimsuky, aşağıdakiler de dahil olmak üzere birçok yineleme ve evrimden geçti: doğrudan iki alt gruba ayrılmıştır.
Bu arada Lazarus grubu, kötü amaçlı yazılım cephaneliğine karmaşık ve halen gelişmekte olan yeni bir arka kapı eklemiş gibi görünüyor; bu, ilk kez bir İspanyol havacılık ve uzay şirketinin başarılı bir siber saldırısında fark edildi.