Kuzey Koreli Hackerlar KANDYKORN macOS Kötü Amaçlı Yazılımıyla Kripto Uzmanlarını Hedef Alıyor - Dünyadan Güncel Teknoloji Haberleri

Kuzey Koreli Hackerlar KANDYKORN macOS Kötü Amaçlı Yazılımıyla Kripto Uzmanlarını Hedef Alıyor - Dünyadan Güncel Teknoloji Haberleri

Kimsuky, Güncellenmiş FastViewer Kötü Amaçlı Yazılımıyla Yeniden Ortaya Çıkıyor

Açıklama, S2W Tehdit Analizi ekibinin, Lazarus Grubunun kardeş hackleme birimi olan Kimsuky (diğer adıyla APT43) adlı Kuzey Koreli bir tehdit kümesi tarafından kullanılan FastViewer adlı bir Android casus yazılımının güncellenmiş bir versiyonunu ortaya çıkarmasıyla geldi

Yeni kampanyayı öne çıkaran şey, saldırganın halka açık bir Discord sunucusunda blockchain mühendislerinin kimliğine bürünmesi ve kurbanları kötü amaçlı kod içeren bir ZIP arşivini indirmeleri ve yürütmeleri için kandırmak amacıyla sosyal mühendislik tuzakları kullanmasıdır

“Bu izinsiz giriş, her biri kasıtlı savunmadan kaçınma tekniklerini kullanan çok sayıda karmaşık aşamayı içeriyordu SUGARLOADER) adlı bir yöntemi çalıştıran yürütme akışının ele geçirilmesi

SUGARLOADER aynı zamanda Swift tabanlı, kendinden imzalı bir ikili dosyanın başlatılmasından da sorumludur “Algılamaları atlayabilen doğrudan bellekli bir yürütme biçimi olan yansıtıcı yüklemeyi kullanıyor

S2W, “Varyant en az Temmuz 2023’ten beri üretimde ve ilk sürüm gibi, meşru uygulamalarda kötü amaçlı kod içeren yeniden paketlenmiş APK’lar dağıtarak kuruluma neden olduğu tespit edildi


01 Kasım 2023Haber odasıKötü Amaçlı Yazılım / Kripto Para Birimi

Kore Demokratik Halk Cumhuriyeti’nden (DPRK) devlet destekli tehdit aktörlerinin, Discord aracılığıyla isimsiz bir kripto değişim platformunun blockchain mühendislerini, adlı yeni bir macOS kötü amaçlı yazılımıyla hedef aldığı tespit edildi Ancak gerçekte saldırı zinciri, KANDYKORN’un beş aşamalı bir sürecin ardından teslim edilmesinin yolunu açtı

Güvenlik araştırmacıları Ricardo Ungureanu, Seth Goodwin ve Andrew Pease, “Tehdit aktörleri, ortama ilk erişim sağlamak için Blockchain mühendislerini bir Python uygulamasıyla kandırdılar



siber-2

Elastic Security Labs, izleri Nisan 2023’e kadar uzanan faaliyetin, ağ altyapısı ve kullanılan tekniklere ilişkin bir analize atıfta bulunarak, kötü şöhretli rakip kolektif Lazarus Group ile örtüşmeler sergilediğini söyledi py) alan bir Python komut dosyasıdır (watcher

İlk olarak Güney Koreli siber güvenlik firması tarafından Ekim 2022’de belgelenen FastViewer, kendisini kimlik avı veya smishing yoluyla yayılan görünüşte zararsız güvenlik veya e-ticaret uygulamaları gibi göstererek, güvenliği ihlal edilmiş cihazlardan hassas verileri gizlice toplamak için Android’in erişilebilirlik hizmetlerini kötüye kullanıyor

FinderTools aynı zamanda bir damlalık işlevi görerek gizli bir ikinci aşama verisini indirir ve çalıştırır py) log) KANDYKORN’u almak ve doğrudan bellekte yürütmek için sonuçta uzak bir sunucuya bağlanır ”

Bu, Lazarus Group’un saldırılarında macOS kötü amaçlı yazılımlarından yararlandığı ilk sefer değil Bununla birlikte S2W, “Bu varyantın vahşi doğada dağıtıldığına dair bilinen bir vaka yok” dedi

Yeni sürümün dikkate değer bir yönü, FastSpy’ın işlevselliğinin FastViewer’a entegrasyonu, böylece ek kötü amaçlı yazılım indirme ihtiyacını ortadan kaldırmasıdır

“Kurban bir sistem kurduklarına inanıyordu arbitraj botuAraştırmacılar, platformlar arasındaki kripto para birimi kur farklılıklarından kazanç elde edebilen bir yazılım aracıdır” dedi

Ayrıca, veri toplama ve sızdırma komutlarını yürütmek üzere açık kaynaklı AndroSpy projesini temel alan FastSpy adlı ikinci aşama kötü amaçlı yazılımı indirmek üzere tasarlanmıştır log (örn ” söz konusu ”

Başlangıç ​​noktası, Google Drive’da barındırılan başka bir Python komut dosyasını (testSpeed ŞEKER YÜKLEYİCİ (/Users/shared/

Son aşamadaki veri yükü olan KANDYKORN, dosyaları numaralandırmak, ek kötü amaçlı yazılım çalıştırmak, verileri dışarı çıkarmak, işlemleri sonlandırmak ve isteğe bağlı komutları çalıştırmak için yerleşik yeteneklere sahip, tam özellikli bir bellekte yerleşik RAT’tır Bu yılın başlarında, tehdit aktörünün arka kapılı bir PDF uygulaması dağıttığı gözlemlendi ve bu uygulama, uzak bir sunucudan ikinci aşama yükünü alabilen AppleScript tabanlı bir arka kapı olan RustBucket’in dağıtımıyla sonuçlandı KANDYKORN ” söz konusu bugün yayınlanan bir raporda sld ve YÜKLEYİCİ meşru Discord uygulaması gibi görünmeye çalışan ve kalıcılık sağlamak için Bu damlalık, FinderTools adlı bir Google Drive URL’sinden bir Python dosyası daha getirir

Araştırmacılar, “Kuzey Kore, LAZARUS GROUP gibi birimler aracılığıyla, ekonomilerinin ve hırslarının büyümesini engelleyen uluslararası yaptırımları aşmak amacıyla kripto para birimini çalmak amacıyla kripto endüstrisi işletmelerini hedeflemeye devam ediyor” dedi

Araştırmacılar, “KANDYKORN, izleme, etkileşim kurma ve tespit edilmekten kaçınma gibi çeşitli yeteneklere sahip gelişmiş bir implanttır” dedi