Des acteurs menaçants parrainés par l’État de la République populaire démocratique de Corée (RPDC) ont été découverts ciblant les ingénieurs blockchain d’une plate-forme d’échange de crypto-monnaie anonyme via Discord avec un nouveau malware macOS baptisé KANDYKORN.
Elastic Security Labs a déclaré que cette activité, remontant à avril 2023, présente des chevauchements avec le tristement célèbre collectif contradictoire Lazarus Group, citant une analyse de l’infrastructure réseau et des techniques utilisées.
« Les acteurs malveillants ont attiré les ingénieurs de la blockchain avec une application Python pour obtenir un premier accès à l’environnement », chercheurs en sécurité Ricardo Ungureanu, Seth Goodwin et Andrew Pease. dit dans un rapport publié aujourd’hui.
« Cette intrusion impliquait plusieurs étapes complexes qui utilisaient chacune des techniques délibérées d’évasion de la défense. »
Ce n’est pas la première fois que le groupe Lazarus exploite des logiciels malveillants macOS dans ses attaques. Plus tôt cette année, l’acteur malveillant a été observé en train de distribuer une application PDF dérobée qui a abouti au déploiement de RustBucket, une porte dérobée basée sur AppleScript capable de récupérer une charge utile de deuxième étape à partir d’un serveur distant.
Ce qui distingue la nouvelle campagne, c’est l’usurpation d’identité d’ingénieurs blockchain sur un serveur Discord public, employant des leurres d’ingénierie sociale pour inciter les victimes à télécharger et à exécuter une archive ZIP contenant du code malveillant.
« La victime croyait qu’ils installaient un robot d’arbitrageun outil logiciel capable de profiter des différences de taux de cryptomonnaie entre les plateformes », ont expliqué les chercheurs. Mais en réalité, la chaîne d’attaque a ouvert la voie à la livraison de KANDYKORN après un processus en cinq étapes.
« KANDYKORN est un implant avancé doté de diverses capacités pour surveiller, interagir et éviter la détection », ont déclaré les chercheurs. « Il utilise le chargement réfléchissant, une forme d’exécution en mémoire directe qui peut contourner les détections. »
Le point de départ est un script Python (watcher.py), qui récupère un autre script Python (testSpeed.py) hébergé sur Google Drive. Ce compte-gouttes, pour sa part, récupère un autre fichier Python à partir d’une URL Google Drive, nommé FinderTools.
FinderTools fonctionne également comme un compte-gouttes, téléchargeant et exécutant une charge utile cachée de deuxième étape appelée CHARGEUR DE SUCRE (/Users/shared/.sld et .log) qui se connecte finalement à un serveur distant afin de récupérer KANDYKORN et l’exécuter directement en mémoire.
SUGARLOADER est également responsable du lancement d’un binaire auto-signé basé sur Swift appelé CHARGEUR qui tente de se faire passer pour l’application Discord légitime et exécute .log (c’est-à-dire SUGARLOADER) pour obtenir la persistance à l’aide d’une méthode appelée détournement du flux d’exécution.
KANDYKORN, qui est la charge utile de l’étape finale, est un RAT résident en mémoire complet avec des capacités intégrées pour énumérer les fichiers, exécuter des logiciels malveillants supplémentaires, exfiltrer des données, mettre fin à des processus et exécuter des commandes arbitraires.
« La RPDC, via des unités comme le GROUPE LAZARUS, continue de cibler les entreprises de l’industrie de la cryptographie dans le but de voler des cryptomonnaies afin de contourner les sanctions internationales qui entravent la croissance de leur économie et de leurs ambitions », ont indiqué les chercheurs.
Kimsuky refait surface avec le logiciel malveillant FastViewer mis à jour
Cette divulgation intervient alors que l’équipe d’analyse des menaces de S2W a découvert une variante mise à jour d’un logiciel espion Android appelé FastViewer, utilisé par un groupe de menaces nord-coréen baptisé Kimsuky (alias APT43), une société de piratage sœur du groupe Lazarus.
FastViewer, documenté pour la première fois par la société de cybersécurité sud-coréenne en octobre 2022, abuse des services d’accessibilité d’Android pour collecter secrètement des données sensibles sur des appareils compromis en se faisant passer pour des applications de sécurité ou de commerce électronique apparemment inoffensives qui se propagent via le phishing ou le smishing.
Il est également conçu pour télécharger un malware de deuxième étape nommé FastSpy, basé sur le projet open source AndroSpy, afin d’exécuter des commandes de collecte de données et d’exfiltration.
« La variante est en production depuis au moins juillet 2023 et, comme la version initiale, elle induit l’installation en distribuant des APK reconditionnés qui incluent du code malveillant dans des applications légitimes », S2W dit.
Un aspect notable de la nouvelle version est l’intégration des fonctionnalités de FastSpy dans FastViewer, évitant ainsi le besoin de télécharger des logiciels malveillants supplémentaires. Cela dit, S2W a déclaré « qu’il n’y a aucun cas connu de propagation de cette variante dans la nature ».