Nordkoreanische Hacker infizieren Krypto-Entwickler mit Malware
Zuletzt aktualisiert am 2. November 2023 von Michael Becker
Sicherheitsforscher haben einen Versuch staatlich unterstützter Hacker aus der Demokratischen Volksrepublik Korea (DVRK) identifiziert, Blockchain-Entwickler einer nicht genannten Krypto-Börsenplattform mit einer neuen Form von macOS-Malware zu infizieren.
Am 31. Oktober veröffentlichte Elastic Security Labs den Einbruch, der benutzerdefinierte und Open-Source-Funktionen für den initialen Zugriff und die Nachexploitation auf Mac verwendet und alles mit Discord beginnt…
Elastic nennt diese Art von macOS-Malware “Kandykorn”, verfolgt als REF7001, und schreibt ihre Existenz der berüchtigten Cyberkriminellen-Gruppe Lazarus aus der DVRK zu, nachdem sie Überschneidungen in der Netzwerkinfrastruktur und den verwendeten Techniken festgestellt hatte.
Lazarus-Hacker verwendeten Discord, um sich als Mitglieder der Blockchain-Entwickler-Community auszugeben und sie dazu zu überreden, ein ZIP-Archiv mit bösartigem Python-Code (Kandykorn) herunterzuladen und zu entpacken. In der Zwischenzeit glaubten die Opfer, sie installierten einen Arbitrage-Bot, um von Unterschieden im Kryptowährungskurs zu profitieren.
“Kandykorn ist ein fortgeschrittenes Implantat mit verschiedenen Fähigkeiten zur Überwachung, Interaktion und zur Vermeidung der Erkennung”, erklärten die Forscher von Elastic am Dienstag. “Es verwendet reflektierendes Laden, eine direkte Form der Speicherausführung, die Erkennungen umgehen kann.”
So ist die Durchführung
Der Ausführungsablauf von REF7001 besteht aus fünf Stufen:
- Anfängliche Kompromittierung: Die Angreifer zielen auf Blockchain-Entwickler ab und tarnen die Arbitrage-Bot-Python-Anwendung namens Watcher.py. Diese wird in einer .zip-Datei mit dem Titel “Cross-Platform Bridges.zip” verteilt.
- Netzwerkverbindung: Wenn das Opfer erfolgreich den bösartigen Python-Code installiert, wird eine ausgehende Netzwerkverbindung zu Zwischendropper-Skripten hergestellt, um Sugerloader herunterzuladen und auszuführen.
- Nutzlast: Die obfuszierte Binärdatei Sugarloader wird für den initialen Zugriff auf das macOS-System verwendet und initialisiert sich für die abschließende Stufe.
- Persistenz: Hloader, der sich als die tatsächliche Discord-Anwendung tarnt, startet jetzt zusammen mit dieser, um die Persistenz für Sugarloader herzustellen.
- Ausführung: Kandykorn, fähig zur Datenzugriff und -exfiltration, erwartet Befehle vom C2-Server.
Kandykorn, die Nutzlast in der abschließenden Stufe, ist ein voll ausgestatteter Memory-Resident RAT mit integrierten Fähigkeiten zur Ausführung beliebiger Befehle, Ausführung weiterer Malware, Datenexfiltration und Beendigung von Prozessen. Die macOS-Malware kommuniziert mit den Lazarus-Group-Hackern über Command-and-Control (C2)-Server mit RC4-Datenverschlüsselung.
Was sind die Absichten der Hacker-Gruppe ?
“Die Aktionen der Lazarus Group zeigen, dass die Gruppe keine Absicht hat, ihre Angriffe auf Unternehmen und Einzelpersonen, die Kryptowährungen halten, zu verlangsamen”, sagt Jaron Bradley, Direktor von Jamf Threat Labs und Mitglied des Teams, das eine ähnliche Form von macOS-Malware früher in diesem Jahr entdeckt hat.
“Sie zeigen auch weiterhin, dass es keinen Mangel an neuer Malware in ihrer Hinterhand gibt und sie mit fortgeschrittenen Angreifer-Techniken vertraut sind. Wir sehen weiterhin, dass sie direkt auf Opfer zugehen und verschiedene Chat-Technologien verwenden. Hier bauen sie Vertrauen auf, bevor sie sie dazu bringen, bösartige Software auszuführen”, so Bradley.
Kandykorn ist nach wie vor eine aktive Bedrohung, und die Tools und Techniken entwickeln sich ständig weiter. Der technische Bericht von Elastic Security Labs enthält umfangreiche Details zu diesem Einbruch, einschließlich Code-Schnipseln und Screenshots.
