Peneliti keamanan telah mengidentifikasi upaya peretas yang disponsori negara dari Republik Demokratik Rakyat Korea (DPRK) untuk menginfeksi insinyur blockchain yang tergabung dalam platform pertukaran kripto yang dirahasiakan dengan bentuk baru malware macOS.
Pada tanggal 31 Oktober, Elastic Security Labs mengungkapkan intrusi tersebut, yang menggunakan kemampuan kustom dan sumber terbuka untuk akses awal dan pasca-eksploitasi di Mac, semuanya dimulai dengan Discord…
Elastic menyebut bentuk malware macOS ini “Kandykorn,” dilacak sebagai REF7001, dan mengaitkan keberadaannya dengan perusahaan kejahatan dunia maya terkenal di DPRK, Lazarus Group, setelah menemukan tumpang tindih dalam infrastruktur jaringan dan teknik yang digunakan.
Penting untuk dicatat bahwa meskipun ini adalah serangan serius dan tidak terdeteksi, ini adalah kasus ekstrim yang tidak perlu dikhawatirkan oleh kebanyakan orang.
Peretas Lazarus menggunakan Discord untuk menyamar sebagai anggota komunitas teknik blockchain, meyakinkan mereka untuk mengunduh dan mendekompresi arsip ZIP yang berisi kode Python berbahaya (Kandykorn). Sementara itu, para korban percaya bahwa mereka memasang bot arbitrase untuk mendapatkan keuntungan dari perbedaan nilai mata uang kripto.
“Kandykorn adalah implan canggih dengan berbagai kemampuan untuk memantau, berinteraksi, dan menghindari deteksi,” kata peneliti Elastic pada hari Selasa. “Ini menggunakan pemuatan reflektif, bentuk eksekusi memori langsung yang dapat melewati deteksi.”
Alur eksekusi REF7001 terdiri dari lima tahap:
Kompromi awal: Pelaku ancaman menargetkan insinyur blockchain dengan aplikasi bot arbitrase Python yang disamarkan yang disebut Watcher.py. Ini didistribusikan dalam file .zip berjudul “Cross-Platform Bridges.zip.” Koneksi jaringan: Jika korban berhasil menginstal kode Python berbahaya, koneksi jaringan keluar dibuat ke skrip penetes perantara untuk mengunduh dan menjalankan Sugerloader. Payload: Biner yang dikaburkan, Sugarloader, digunakan untuk akses awal pada sistem macOS dan diinisialisasi untuk tahap akhir. Persistensi: Hloader, yang menyamar sebagai aplikasi Discord sebenarnya, kini diluncurkan bersamaan untuk membangun persistensi untuk Sugarloader. Eksekusi : Kandykorn, yang mampu mengakses dan melakukan eksfiltrasi data, menunggu perintah dari server C2. Kandykorn, payload tahap akhir, adalah RAT residen memori berfitur lengkap dengan kemampuan bawaan untuk menjalankan perintah sewenang-wenang, menjalankan malware tambahan, mengekstrak data, dan mematikan proses. Malware macOS berkomunikasi dengan peretas Lazarus Group menggunakan server perintah dan kontrol (C2) dengan enkripsi data RC4.
“Tindakan yang ditampilkan oleh Lazarus Group menunjukkan bahwa aktor tersebut tidak memiliki niat untuk memperlambat penargetan mereka terhadap perusahaan dan individu yang memegang mata uang kripto,” kata Jaron Bradley, Direktur Jamf Threat Labs dan bagian dari tim di balik penemuan tersebut. dari bentuk malware macOS serupa awal tahun ini.
“Mereka juga terus menunjukkan bahwa mereka selalu memiliki malware baru dan pengetahuan tentang teknik penyerang tingkat lanjut. Kami terus melihat mereka menjangkau korban secara langsung menggunakan teknologi obrolan yang berbeda. Di sinilah mereka membangun kepercayaan sebelum menipu mereka agar menjalankan perangkat lunak berbahaya,” kata Bradley.
Kandykorn masih merupakan ancaman aktif, dan alat serta tekniknya terus berkembang. Tulisan teknis Elastic Security Labs memberikan detail ekstensif mengenai intrusi ini, termasuk cuplikan kode dan tangkapan layar.
Ikuti Arin: Twitter/X, LinkedIn, Threads
Itulah konten tentang Menipu atau mengobati? Peretas Korea Utara menargetkan pakar kripto dengan malware macOS Kandykorn, semoga bermanfaat.