大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
与朝鲜有关的 Lazarus 组织正在使用新的 KandyKorn macOS 恶意软件来攻击区块链工程师。
据 Elastic Security Labs 报道,与朝鲜有关的 Lazarus APT 组织被发现使用新的 KandyKorn macOS 恶意软件来攻击区块链工程师。
“KandyKorn 是一种先进的植入物,具有多种监控、交互和避免检测的功能。它利用反射加载,这是一种可以绕过检测的直接内存执行形式,”识别并分析威胁的 Elastic Security 指出。阅读报告。
威胁行为者在该社区成员使用的公共 Discord 上冒充区块链工程社区成员。攻击者试图诱骗受害者下载并解压 ZIP 存档 (Cross-Platform Bridges.zip),其中包含由 套利机器人伪装的恶意 Python 代码。套利机器人是一种允许用户从平台之间的加密货币汇率差异中获利的工具。
该攻击链旨在使用 KANDYKORN macOS 恶意软件感染目标系统。
以下是攻击中使用的恶意代码的序列:
第 0 阶段(初始妥协)——Watcher.py
第 1 阶段(Dropper)——testSpeed.py 和 FinderTools
第 2 阶段(有效负载) – .sld 和 .log – SUGARLOADER
第 3 阶段(加载器)- Discord(假)- HLOADER
第 4 阶段(有效载荷)——KANDYKORN
解压存档后,会显示一个 Main.py 脚本以及名为 order_book_recorder 的文件夹,其中包含 13 个 Python 脚本。
SUGARLOADER 连接到 C2 服务器来下载 KANDYKORN 并直接在内存中执行。
Elastic 研究人员通过用于加密 SUGARLOADER 和 KANDYKORN C2 的 RC4 密钥将该活动追溯到 2023 年 4 月。
该恶意软件支持多种功能,例如收集信息、列出目录和正在运行的进程、下载文件、上传文件、归档目录并窃取它们、杀死进程、使用终端执行命令、生成 shell、从服务器下载配置、休眠、并退出。
与朝鲜有关的威胁行为者继续以加密货币行业的组织为目标,以规避国际制裁并为其军事行动提供资金。
“朝鲜通过 LAZARUS GROUP 等单位继续瞄准加密行业企业,目的是窃取加密货币,以规避阻碍其经济增长和野心的国际制裁。在这次入侵中,他们针对活跃在公共聊天服务器上的区块链工程师,设计了一个诱饵,旨在展示他们的技能和兴趣,并以经济收益为潜在承诺。”报告总结道。“感染需要受害者的互动,如果诱饵是合法的,这种互动也是可以预料的。”
Elastic 警告说,该活动仍然活跃,其策略、技术和程序仍在不断增强。
欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...