Новая вредоносная программа для macOS, получившая название KandyKorn, была обнаружена в ходе кампании, приписываемой северокорейской хакерской группировке Lazarus и направленной на блокчейн-инженеров одной из криптовалютных бирж.
Злоумышленники выдают себя за членов криптовалютного сообщества на каналах Discord для распространения модулей на языке Python, запускающих многоступенчатую цепочку заражения KandyKorn.
Компания Elastic Security обнаружила и отнесла атаки к Lazarus на основании совпадений с прошлыми кампаниями по используемым методам, сетевой инфраструктуре, сертификатам подписи кода и пользовательским правилам обнаружения Lazarus.
Атаки на криптовалютное сообщество
Атака на Discord начинается с атак социальной инженерии, в ходе которых жертвы обманом заставляются загрузить вредоносный ZIP-архив под названием "Cross-platform Bridges.zip".
Жертва вводится в заблуждение, полагая, что загружает легитимного арбитражного бота, предназначенного для автоматического получения прибыли от криптовалютных транзакций.
Вместо этого содержащийся в нем Python-скрипт ('Main.py') импортирует 13 модулей из такого же количества скриптов в ZIP-архиве и запускает первую полезную нагрузку - 'Watcher.py'.
Watcher.py - это загрузчик, который распаковывает и запускает второй Python-скрипт под названием 'testSpeed.py' вместе с другим Python-файлом под названием 'FinderTools', загруженным с URL-адреса Google Drive.
FinderTools - это дроппер, который находит и запускает обфусцированный двоичный файл под названием 'SugarLoader', который появляется под двумя именами и в двух экземплярах - в виде исполняемых файлов .sld и .log Mach-O.
Sugarloader устанавливает соединение с командно-контрольным (C2) сервером для получения и загрузки в память конечной полезной нагрузки - KandyKorn, используя рефлексивную загрузку бинарных файлов.
Трюк с сохранением macOS
На заключительном этапе атаки используется загрузчик под названием HLoader, который выдает себя за Discord и использует приемы подписи двоичного кода macOS, встречавшиеся в прошлых кампаниях Lazarus.
HLoader обеспечивает устойчивость SugarLoader, перехватывая реальное приложение Discord на зараженной системе и выполняя ряд действий по переименованию бинарных файлов.
"Мы наблюдали, как угрожающий агент использовал технику, которую мы ранее не видели, чтобы они использовали для достижения стойкости на macOS, известную как перехват потока выполнения", - поясняет Elastic.
В частности, при запуске HLOADER выполняет следующие операции:
- Переименовывает себя из Discord в MacOS.tmp
- Переименовывает легитимный двоичный файл Discord из .lock в Discord
- Выполняет как Discord, так и .log с помощью NSTask.launchAndReturnError
- Переименовывает оба файла в их первоначальные имена
KandyKorn
KandyKorn - это продвинутая полезная нагрузка последнего этапа, позволяющая Lazarus получить доступ и похитить данные с зараженного компьютера.
Он работает в фоновом режиме как демон, ожидая команд от C2-сервера и избегая отправки сердцебиений, чтобы минимизировать свой след в системе.
KandyKorn поддерживает следующие 16 команд:
- 0xD1: Завершает работу программы.
- 0xD2: Сбор системной информации.
- 0xD3: Перечисляет содержимое каталогов.
- 0xD4: Анализирует свойства директории.
- 0xD5: Загружает файлы с компьютера C2 на компьютер жертвы.
- 0xD6: Эксфильтрирует файлы с компьютера жертвы на компьютер C2.
- 0xD7: Архивирует и эксфильтрирует каталоги.
- 0xD8: Безопасное удаление файлов с помощью перезаписи нулями.
- 0xD9: Перечисление всех запущенных процессов.
- 0xDA: Убивает указанный процесс.
- 0xDB: Выполняет системные команды через псевдотерминал.
- 0xDC: Получает выходные данные команд.
- 0xDD: Запускает интерактивную оболочку.
- 0xDE: Получение текущей конфигурации.
- 0xDF: Обновление конфигурации C2.
- 0xE0: Временно приостанавливает работу.
Таким образом, KandyKorn представляет собой особо скрытный бэкдор, способный осуществлять поиск данных, листинг каталогов, загрузку/выгрузку файлов, безопасное удаление, завершение процессов и выполнение команд.
Криптовалютный сектор остается основной целью Lazarus, причем в первую очередь это связано с финансовой выгодой, а не со шпионажем, который является другим основным направлением ее деятельности.
Существование KandyKorn подчеркивает, что macOS находится в зоне поражения Lazarus, и демонстрирует удивительную способность этой группы создавать сложные и незаметные вредоносные программы, предназначенные для компьютеров Apple.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!