Des chercheurs en sécurité ont identifié une tentative de pirates informatiques parrainés par l’État de la République populaire démocratique de Corée (RPDC) d’infecter les ingénieurs blockchain appartenant à une plateforme d’échange cryptographique non divulguée avec une nouvelle forme de malware macOS.
Le 31 octobre Laboratoires de sécurité élastiques a révélé l’intrusion, qui utilise des fonctionnalités personnalisées et open source pour l’accès initial et la post-exploitation sur Mac, le tout en commençant par Discord…
Elastic appelle cette forme de malware macOS « Kandykorn », suivi sous le nom REF7001, et attribue son existence à la tristement célèbre entreprise de cybercriminalité de la RPDC, Lazarus Group, après avoir découvert des chevauchements dans l’infrastructure réseau et les techniques utilisées.
Il est important de noter que même s’il s’agit d’une attaque sérieuse qui peut passer inaperçue, il s’agit d’un cas extrême dont la plupart des gens n’ont pas à s’inquiéter.
Les pirates de Lazarus ont utilisé Discord pour se faire passer pour des membres de la communauté d’ingénierie blockchain, les convainquant de télécharger et de décompresser une archive ZIP contenant du code Python malveillant (Kandykorn). Pendant ce temps, les victimes pensaient installer un robot d’arbitrage pour profiter des différences de taux de cryptomonnaie.
« Kandykorn est un implant avancé doté de diverses capacités pour surveiller, interagir et éviter la détection », ont déclaré mardi des chercheurs d’Elastic. « Il utilise le chargement réfléchissant, une forme d’exécution en mémoire directe qui peut contourner les détections. »
Le flux d’exécution de REF7001 se compose de cinq étapes :
- Compromis initial : Les acteurs malveillants ciblent les ingénieurs de la blockchain avec l’application Python de robot d’arbitrage camouflé appelée Watcher.py. Celui-ci est distribué dans un fichier .zip intitulé « Cross-Platform Bridges.zip ».
- Connexion réseau: Si la victime installe avec succès le code Python malveillant, une connexion réseau sortante est établie vers des scripts dropper intermédiaires pour télécharger et exécuter Sugerloader.
- Charge utile: Le binaire obscurci, Sugarloader, est utilisé pour l’accès initial sur le système macOS et s’initialise pour l’étape finale.
- Persistance: Hloader, qui se déguise en véritable application Discord, se lance désormais à ses côtés pour établir la persistance de Sugarloader.
- Exécution: Kandykorn, capable d’accéder et d’exfiltrer les données, attend les commandes du serveur C2.
Kandykorn, la charge utile de l’étape finale, est un RAT résident en mémoire complet avec des capacités intégrées pour exécuter des commandes arbitraires, exécuter des logiciels malveillants supplémentaires, exfiltrer des données et tuer des processus. Le malware macOS communique avec les pirates du groupe Lazarus à l’aide de serveurs de commande et de contrôle (C2) avec cryptage des données RC4.
« Les actions affichées par Lazarus Group montrent que l’acteur n’a pas l’intention de ralentir son ciblage des entreprises et des particuliers détenant des crypto-monnaies », déclare Jaron Bradley, directeur de Jamf Threat Labs et membre de l’équipe à l’origine de la découverte d’un forme similaire de malware macOS plus tôt cette année.
« Ils continuent également de montrer qu’ils ne manquent pas de nouveaux logiciels malveillants et qu’ils sont familiers avec les techniques avancées des attaquants. Nous continuons de les voir contacter directement les victimes en utilisant différentes technologies de chat. C’est ici qu’ils établissent la confiance avant de les inciter à exécuter des logiciels malveillants », déclare Bradley.
Kandykorn reste une menace active, et les outils et techniques évoluent continuellement. Les laboratoires de sécurité Elastic rédaction technique fournit des détails détaillés sur cette intrusion, y compris des extraits de code et des captures d’écran.
Suivez Arin : Twitter/X, LinkedIn, Sujets
FTC : Nous utilisons des liens d’affiliation automatique générateurs de revenus. Plus.
