Пользователи macOS, будьте осторожны: северокорейские хакеры на охоте

В своем недавнем отчете Elastic Security Labs раскрыла изощренное кибервторжение со стороны северокорейских хакеров, предположительно связанных с Lazarus Group.

Этот инцидент, отмеченный как REF7001, был связан с использованием нового вредоносного ПО для macOS под названием Kandykorn, которое специально разработано для атак на инженеров блокчейнов, участвующих в платформах обмена криптовалютой.

Северокорейские хакеры атакуют криптоинженеров с помощью вредоносного ПО, распространяемого через Discord

Elastic Security Labs имеет незащищенный изощренное кибер-вторжение северокорейских хакеров, предположительно связанное с печально известной группой Lazarus. В этом инциденте, нацеленном на инженеров блокчейнов, участвующих в платформах обмена криптовалютами, использовалась обманная программа Python, маскирующаяся под бота для арбитража криптовалют.

Отличительной чертой этой атаки является способ распространения: злоумышленники распространяли вредоносное ПО через личное сообщение на общедоступном сервере Discord, что нетипично для тактики вторжения в macOS.

«Жертва думала, что они устанавливают арбитражного бота, программный инструмент, способный получать прибыль от различий в курсах обмена криптовалют между платформами», — объяснили исследователи из Elastic Security Labs.

После установки вредоносное ПО Kandykorn инициирует связь с сервером управления и контроля (C2), используя зашифрованный RC4 и реализуя особый механизм установления связи. Вместо того, чтобы активно запрашивать команды, он терпеливо их ждет. Этот сложный метод позволяет хакерам незаметно сохранять контроль над скомпрометированными системами.

Kandykorn Malware Tactics раскрывает связи с Lazarus Group

Лаборатория Elastic Security Labs предоставила ценную информацию о возможностях Kandykorn, продемонстрировав свои навыки в выполнении загрузки и скачивания файлов, манипулировании процессами и выполнении произвольных системных команд. Особое беспокойство вызывает использование рефлексивной двоичной загрузки — метода бесфайлового выполнения, связанного с печально известной группой Lazarus. Группа Lazarus известна своей причастностью к краже криптовалют и уклонению от международных санкций.

Более того, существуют убедительные доказательства, связывающие это нападение с группой «Лазарь» в Северной Корее. Сходство в методах, сетевой инфраструктуре, сертификатах, используемых для подписи вредоносных программ, и специальных методах обнаружения деятельности Lazarus Group — все указывает на их причастность.

Кроме того, цепные транзакции выявили связь между нарушениями безопасности в Atomic Wallet, Alphapo, CoinsPaid, Stake.com и CoinEx. Эти связи еще раз доказывают участие Lazarus Group в этих предприятиях.

В другом недавнем инциденте группа Lazarus попыталась скомпрометировать компьютеры Apple под управлением macOS, обманом заставив пользователей загрузить приложение для торговли криптовалютой с GitHub. Когда ничего не подозревающие пользователи установили программное обеспечение и предоставили ему административный доступ, злоумышленники получили черный ход в операционную систему, обеспечивающий удаленный доступ.

Углубляясь в эти детали, Elastic Security Labs пролила свет на сложную тактику, используемую Lazarus Group, и подчеркнула важность надежных мер кибербезопасности для защиты от таких угроз.