Lazarus组织部署macOS恶意软件攻击区块链工程师

Lazarus组织已针对区块链工程师部署了macOS恶意软件。这款macOS恶意软件被称为KANDYKORN。该恶意软件相对较新。

朝鲜国家支持的黑客通过Discord针对一家未具名加密货币交易所的区块链工程师。这些开发人员遭到了一种名为KANDYKORN的新型macOS恶意软件的攻击。

根据网络安全研究人员Ricardo Ungureanu、Seth Goodwin和Andrew Pease的报告，威胁行为者使用Python应用程序引诱区块链工程师，以获取对黑客环境的初始访问权限。

研究人员确认： “此次入侵涉及多个复杂阶段，每个阶段都采用了精心设计的防御规避技术”

Lazarus组织针对区块链工程师发起macOS恶意软件攻击

这并非Lazarus组织首次使用macOS恶意软件进行黑客活动。今年早些时候，该威胁组织被检测到分发带有后门的PDF应用程序，导致RustBucket部署。RustBucket是一个基于AppleScript的后门，用于从远程服务器检索第二阶段有效载荷。

这次黑客活动的独特之处在于威胁行为者在公共Discord服务器中冒充区块链工程师的方式。黑客还使用社会工程技术诱骗受害者下载并执行包含恶意代码的ZIP存档。

研究人员表示，受害者被诱骗安装了一个套利机器人。加密货币交易者使用此机器人从不同平台间的加密货币汇率差异中获利。

研究人员指出： KANDYKORN是一种高级植入程序，具有监控、交互和避免检测的各种能力。它利用反射加载，这是一种直接内存执行形式，可能绕过检测。

恶意软件从一个Python脚本开始，该脚本检索托管在Google Drive上的另一个Python脚本。该投放器从一个名为FinderTools的Google Drive URL收集另一个Python文件。

FinderTools也像投放器一样运行，下载并执行一个隐藏的第二阶段有效载荷SUGARLOADER。该有效载荷将连接到远程服务器以检索KANDYKORN，并直接在内存中运行此恶意软件。

SUGARLOADER恶意软件启动一个名为HLOADER的自签名二进制文件。该二进制文件像合法的Discord应用程序一样运行，通过执行流劫持实现持久性。

KANDYKORN作为最终阶段有效载荷部署，它是一个功能完整的内存驻留RAT（远程访问木马）。它还包含内置功能，用于精细枚举、运行其他恶意软件、泄露数据、终止进程和运行任意命令。

研究人员进一步表示，朝鲜使用Lazarus组织等单位针对加密货币行业的企业，以窃取加密资产并违反国际制裁。