Пользователи macOS, будьте осторожны: северокорейские хакеры на охоте

В своем недавнем сообщении Elastic Security Labs обнаружила изощренное кибервторжение со стороны северокорейских хакеров, предположительно связанных с группой Lazarus.

Этот инцидент, отмеченный как REF7001, был связан с использованием нового вредоносного ПО для macOS под названием Kandykorn, которое было специально разработано для атак на инженеров блокчейнов, участвующих в платформах обмена криптовалютами.

Северокорейские хакеры атакуют криптоинженеров с помощью вредоносного ПО, распространяемого через Discord

Лаборатория Elastic Security Labs раскрыла изощренное кибервторжение северокорейских хакеров, предположительно связанных с пресловутой группой Lazarus. В этом инциденте, нацеленном на инженеров блокчейнов, участвующих в платформах обмена криптовалютами, использовалась обманная программа Python, маскирующаяся под бота для арбитража криптовалют.

Отличительной чертой этой атаки является метод ее распространения: злоумышленники распространяли вредоносное ПО через личное сообщение на общедоступном сервере Discord, что нетипично для тактики вторжения в macOS.

«Жертва полагала, что они устанавливали арбитражного бота, программный инструмент, способный получать прибыль от разницы в курсах криптовалют между платформами», — объяснили исследователи из Elastic Security Labs.

После установки вредоносное ПО Kandykorn инициирует связь с сервером управления и контроля (C2), используя зашифрованный RC4 и реализуя отдельный механизм установления связи. Вместо того, чтобы активно запрашивать команды, он терпеливо их ожидает. Этот сложный метод позволяет хакерам незаметно сохранять контроль над скомпрометированными системами.

Kandykorn Malware Tactics выявила связи с Lazarus Group

Лаборатория Elastic Security Labs предоставила ценную информацию о возможностях Kandykorn, продемонстрировав его умение выполнять загрузку и скачивание файлов, манипулирование процессами и выполнение произвольных системных команд. Особое беспокойство вызывает использование отражающей двоичной загрузки — метода безфайлового выполнения, связанного с пресловутой группой Lazarus. Группа Lazarus известна своей причастностью к краже криптовалют и уклонению от международных санкций.

Более того, существуют убедительные доказательства связи этой атаки с группой «Лазарь» в Северной Корее. Сходство в методах, сетевой инфраструктуре, сертификатах, используемых для подписи вредоносного программного обеспечения, и специальных методах обнаружения деятельности Lazarus Group — все указывает на их причастность.

Кроме того, внутрисетевые транзакции выявили связь между нарушениями безопасности в Atomic Wallet, Alphapo, CoinsPaid, Stake.com и CoinEx. Эти связи еще раз доказывают участие Lazarus Group в этих атаках.

В другом недавнем инциденте группа Lazarus попыталась скомпрометировать компьютеры Apple под управлением macOS, обманом заставив пользователей загрузить приложение для торговли криптовалютой с GitHub. После того как ничего не подозревающие пользователи установили программное обеспечение и предоставили ему административный доступ, злоумышленники получили бэкдор в операционную систему, обеспечивающий удаленный доступ.

Углубляясь в эти детали, Elastic Security Labs пролила свет на сложную тактику, используемую Lazarus Group, подчеркнув важность надежных мер кибербезопасности для защиты от таких угроз.