'KandyKorn' macOS Kötü Amaçlı Yazılımı Kripto Mühendislerini Cezbediyor - Dünyadan Güncel Teknoloji Haberleri

'KandyKorn' macOS Kötü Amaçlı Yazılımı Kripto Mühendislerini Cezbediyor - Dünyadan Güncel Teknoloji Haberleri

Tehdit ekibi, kötü amaçlı yazılım dağıtım yolunun tamamını izlemeyi başardı ve KandyKorn’un yürütme zincirinin son aşaması olduğu sonucuna vardı Uygulama, “config FBI kısa süre önce grubun birden fazla kripto para birimi soygunundan 1

Örneğin, ülkenin lideri Kim Jong Un’un, dallarını dünya çapında yaymaya devam eden, Kimsuky adında bir İsviçre Çakısı APT’si var; bu da araştırmacıların yaklaşmasından korkmadığını gösteriyor

Elastic Security uzmanları, saldırının kurbanlarının bir arbitraj botu yüklediklerine inandıklarını ancak Python uygulamasının başlatılmasının, KandyKorn kötü amaçlı aracının konuşlandırılmasıyla sonuçlanan çok adımlı bir kötü amaçlı yazılım akışının yürütülmesini başlattığını söyledi py ve FinderTools

Analize göre kötü amaçlı yazılım, cihazı ve yüklü uygulamaları yoklamıyor ancak bilgisayar korsanlarından doğrudan komutlar bekliyor; bu da oluşturulan uç noktaların ve ağ yapıtlarının sayısını azaltarak tespit olasılığını sınırlıyor

Bir ay önce araştırmacılar, CherryBlos ve FakeTrade adlı, kripto para hırsızlığı ve diğer mali amaçlı dolandırıcılıklar nedeniyle Android kullanıcılarını hedef alan iki ilgili kötü amaçlı yazılım kampanyasını ortaya çıkarmıştı

Kripto Para Borsaları Ateş Altında

Kripto para borsaları 2023’te bir dizi özel anahtar hırsızlığı saldırısına maruz kaldı ve bunların çoğu, haksız kazançlarını Kuzey Kore rejimini finanse etmek için kullanan Lazarus grubuna atfedildi



Kötü şöhretli Kuzey Koreli gelişmiş kalıcı tehdit (APT) grubu Lazarus, kripto para borsalarına bağlı blockchain mühendislerini hedeflemek için kullandığı “KandyKorn” adlı bir tür macOS kötü amaçlı yazılım geliştirdi py” gibi yanıltıcı adlar içeriyordu ve herkese açık bir Discord sunucusu aracılığıyla dağıtılıyordu Kimsuky, aşağıdakiler de dahil olmak üzere birçok yineleme ve evrimden geçti: doğrudan iki alt gruba ayrılmıştır

KandyKorn Kötü Amaçlı Yazılımının Bulaşma Rutini

Saldırı, Watcher

Raporda, “Düşmanlar, geleneksel statik imza tabanlı kötü amaçlı yazılımdan koruma yeteneklerini atlatmak için genellikle bunun gibi gizleme tekniklerini kullanıyor” ifadesine yer verildi

KandyKorn işlemleri daha sonra bilgisayar korsanlarının sunucusuyla iletişim kurarak sunucunun dallanıp arka planda çalışmasına olanak tanıyor

Eylül ayında saldırganların, en az Kasım 2021’den bu yana devam eden bir kripto para hırsızlığı kampanyasında meşru bir Windows yükleme aracının kötü amaçlı sürümleriyle 3D modelleyicileri ve grafik tasarımcılarını hedef aldığı keşfedildi 580 Bitcoin’i taşıdığını ve fonları altı farklı Bitcoin adresinde tuttuğunu tespit etti

Bunu gerçekleştirmek için Lazarus, kripto para arbitraj botu (kripto para birimi değişim platformları arasındaki kripto para oranlarındaki farktan kâr elde edebilen bir yazılım aracı) kılığına giren bir Python uygulamasını içeren çok aşamalı bir yaklaşımı benimsedi



siber-1

Tehdit grubu ayrıca, kötü amaçlı yazılımın çoğu algılama programını atlamasına yardımcı olan bir gizleme tekniği olarak yansıtıcı ikili yüklemeyi de kullandı

Bir göre Elastic Security Labs’ın raporuKandyKorn, kripto para birimi hizmetleri ve uygulamaları da dahil olmak üzere kurbanın bilgisayarındaki her türlü veriyi tespit etmek, erişmek ve çalmak için tam özellikli yeteneklere sahiptir

DPKR’den Büyüyen Tehdit

Mandiant’ın yakın tarihli bir raporunda, Kore Demokratik Halk Cumhuriyeti’ndeki (DPRK) çeşitli APT’ler arasında benzeri görülmemiş bir işbirliğinin, onları takip etmeyi zorlaştırdığı ve stratejik müdahale çabaları gerektiren agresif, karmaşık siber saldırılara zemin hazırladığı konusunda uyardı Gerçekte dosya, kötü amaçlı kod içeren önceden oluşturulmuş bir Python uygulaması içeriyordu py” ve “pricetable py’yi içe aktaran Main Bu komut dosyası Python sürümünü kontrol eder, yerel dizinleri ayarlar ve iki komut dosyasını doğrudan Google Drive’dan alır: TestSpeed

Grup daha sonra kurbanlarını, botu içerdiği iddia edilen bir zip arşivini indirip geliştirme ortamlarına açmaya teşvik etmek için sosyal mühendislik tekniklerini kullandı py’nin yürütülmesiyle başlar

Bu arada Lazarus grubu, kötü amaçlı yazılım cephaneliğine karmaşık ve halen gelişmekte olan yeni bir arka kapı eklemiş gibi görünüyor; bu, ilk kez bir İspanyol havacılık ve uzay şirketinin başarılı bir siber saldırısında fark edildi

Bu komut dosyaları, makineye ilk erişimi vermekten ve kötü amaçlı yazılımın son aşamalarını hazırlamaktan sorumlu olan ve Hloader adı verilen bir aracı da içeren, Sugarloader adı verilen karmaşık bir ikili dosyayı indirmek ve yürütmek için kullanılır