Des pirates nord-coréens ciblent des experts en cryptographie avec le logiciel malveillant macOS KANDYKORN

Des acteurs de la République populaire démocratique de Corée (RPDC) parrainés par l’État ont ciblé des ingénieurs blockchain d’une plateforme d’échange de cryptomonnaies anonyme via Discord avec un nouveau logiciel malveillant macOS baptisé KANDYKORN.

Elastic Security Labs a déclaré que l’activité, remontant à avril 2023, présente des chevauchements avec le tristement célèbre collectif d’adversaires Lazarus Group, citant une analyse de l’infrastructure du réseau et des techniques utilisées.

« Les acteurs de la menace ont attiré les ingénieurs de la blockchain avec une application Python pour obtenir un accès initial à l’environnement », ont déclaré les chercheurs en sécurité Ricardo Ungureanu, Seth Goodwin et Andrew Pease dans un rapport publié aujourd’hui. « Cette intrusion a comporté plusieurs étapes complexes qui ont chacune utilisé des techniques délibérées d’évasion de la défense. »

Ce n’est pas la première fois que le Lazarus Group utilise des logiciels malveillants macOS dans ses attaques. Au début de l’année, l’acteur de la menace a été observé en train de distribuer une application PDF piratée qui aboutissait au déploiement de RustBucket, une porte dérobée basée sur AppleScript capable de récupérer une charge utile de seconde étape à partir d’un serveur distant. Cette nouvelle campagne se distingue par le fait que l’attaquant s’est fait passer pour un ingénieur de la blockchain sur un serveur Discord public, utilisant des astuces d’ingénierie sociale pour inciter les victimes à télécharger et à exécuter une archive ZIP contenant un code malveillant.

« La victime pensait installer un robot d’arbitrage, un outil logiciel capable de tirer profit des différences de taux de crypto-monnaie entre les plateformes », ont déclaré les chercheurs. Mais en réalité, la chaîne d’attaque a ouvert la voie à la livraison de KANDYKORN en suivant un processus en cinq étapes. « KANDYKORN est un implant avancé doté de diverses capacités de surveillance, d’interaction et d’évitement de la détection. Il utilise le chargement réfléchi, une forme d’exécution en mémoire directe qui peut contourner les détections. Le point de départ est un script Python (watcher.py), qui récupère un autre script Python (testSpeed.py) hébergé sur Google Drive. Ce dropper, quant à lui, récupère un autre fichier Python à partir d’une URL de Google Drive, nommée FinderTools. FinderTools fonctionne également comme un dropper, en téléchargeant et en exécutant une charge utile cachée de deuxième étape appelée SUGARLOADER (/Users/shared/.sld et .SUGARLOADER est également responsable du lancement d’un binaire auto-signé basé sur Swift, connu sous le nom de HLOADER, qui tente de se faire passer pour une application Discord apparemment légitime et qui exécute .log (c’est-à-dire , KANDYKORN, qui constitue la charge utile finale, est un RAT résident en mémoire doté de toutes les fonctionnalités nécessaires pour énumérer les fichiers, exécuter d’autres logiciels malveillants, exfiltrer des données, mettre fin à des processus et exécuter des commandes arbitraires. »La RPDC, par l’intermédiaire d’unités telles que Lazarus Group, continue de cibler les entreprises de l’industrie cryptographique dans le but de voler des crypto-monnaies afin de contourner les sanctions internationales qui entravent la croissance de leur économie et de leurs ambitions », ont déclaré les chercheurs.Cette révélation intervient alors que l’équipe d’analyse des menaces de S2W a découvert une variante mise à jour d’un logiciel espion Android appelé FastViewer, utilisé par un groupe de menaces nord-coréen appelé Kimsuky (alias APT43),FastViewer, documenté pour la première fois par une société de sécurité sud-coréenne en octobre 2022, utilise les services d’accessibilité d’Android pour récolter secrètement des données sensibles sur des appareils compromis en se faisant passer pour un logiciel de sécurité apparemment inoffensif – des applications de commerce – qui sont propagées par le biais d’un logiciel d’espionnage.Elle est également conçue pour télécharger un logiciel malveillant de seconde étape, baptisé FastSpy, basé sur le projet open source AndroSpy, afin d’exécuter des commandes de collecte et d’exfiltration de données. »La variante est en production depuis au moins juillet 2023 et, comme la version initiale, elle incite à l’installation en distribuant des APK reconditionnés qui contiennent des logiciels malveillants en tant que charge utile », ont déclaré les chercheurs.
code malveillant dans des applications légitimes », a déclaré S2W.

Un aspect notable de la nouvelle version est l’intégration de la fonctionnalité de FastSpy dans FastViewer, ce qui évite de devoir télécharger un logiciel malveillant supplémentaire. Cela dit, S2W précise qu' »il n’existe aucun cas connu de distribution de cette variante dans la nature ».

Rejoignez-nous pour notre webinaire afin d’apprendre comment relever les défis, lancer un programme et choisir la bonne solution.

Participez à la conversation avec des gourous de la sécurité pour découvrir les technologies qui peuvent protéger vos applications web contre les attaques furtives.

Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité.