Un APT collegato a Lazarus della Repubblica Democratica Popolare di Corea (DPRK) sono stati scoperti mentre prendevano di mira gli ingegneri blockchain di una piattaforma di scambio di criptovalute non nominata tramite Discord con un nuovo malware macOS chiamato KANDYKORN.
Dettagli sull’attacco e collegamenti con il Gruppo Lazarus
Elastic Security Labs ha rilevato che l’attività, risalente ad aprile 2023, mostra sovrapposizioni con il noto collettivo avversario Lazarus Group. Gli attori delle minacce hanno attirato gli ingegneri blockchain con un’applicazione Python per ottenere l’accesso iniziale all’ambiente. Questa intrusione ha coinvolto diverse fasi complesse che utilizzavano tecniche di evasione della difesa.
Non è la prima volta che il Gruppo Lazarus utilizza malware macOS nei suoi attacchi. In precedenza, l’attore delle minacce aveva distribuito un’applicazione PDF compromessa che culminava nel dispiegamento di RustBucket, un backdoor basato su AppleScript.
Tecniche di ingegneria sociale e funzionalità di KANDYKORN
Ciò che rende distintiva la nuova campagna è l’impersonificazione degli ingegneri blockchain in un server Discord pubblico, utilizzando trucchi di ingegneria sociale per indurre le vittime a scaricare ed eseguire un archivio ZIP contenente codice malevolo. Le vittime credevano di installare un “arbitrage bot”, ma in realtà la catena di attacco ha aperto la strada alla consegna di KANDYKORN attraverso un processo in cinque fasi.
KANDYKORN è un impianto avanzato con varie capacità per monitorare, interagire ed evitare il rilevamento. Utilizza il caricamento riflessivo, una forma di esecuzione diretta nella memoria che potrebbe eludere i rilevamenti.
Obiettivi e scoperte correlate
Il DPRK, attraverso unità come il LAZARUS GROUP, continua a prendere di mira le aziende dell’industria delle criptovalute con l’obiettivo di rubare criptovalute per eludere le sanzioni internazionali. La rivelazione arriva mentre il team di analisi delle minacce S2W ha scoperto una variante aggiornata di uno spyware Android chiamato FastViewer, utilizzato da un cluster di minacce nordcoreano chiamato Kimsuky, un gruppo di hacking collegato al Gruppo Lazarus.