Elastic Security Labs 揭露朝鮮使用新的 macOS 惡意軟件 Kandykorn 進行網絡入侵，目標是區塊鏈工程師。

在最近的披露中，Elastic Security Labs 發現了朝鮮黑客發起的復雜網絡入侵，據信與 Lazarus 組織有關。

該事件被追蹤爲 REF7001，涉及使用一種名爲 Kandykorn 的新 macOS 惡意軟件，該惡意軟件專門針對參與加密貨幣交易平台的區塊鏈工程師而設計。

朝鮮黑客利用 Discord 分布式惡意軟件瞄准加密工程師

Elastic Security Labs曝光了朝鮮黑客發起的復雜網絡入侵事件，據信與臭名昭著的拉撒路集團 (Lazarus Group) 有關。該事件針對參與加密貨幣交易平台的區塊鏈工程師，利用了一個欺騙性的Python程序，僞裝成加密貨幣套利機器人。

這種攻擊的獨特之處在於它的分發方法：攻擊者通過公共 Discord 服務器上的私人消息分發惡意軟件，這是 macOS 入侵策略的非典型做法。

Elastic Security Labs 的研究人員解釋說：“受害者認爲他們正在安裝套利機器人，這是一種能夠從平台之間的加密貨幣匯率差異中獲利的軟件工具。”

安裝後，Kandykorn 惡意軟件利用加密的 RC4 並實施獨特的握手機制，啓動與命令和控制 (C2) 服務器的通信。它不會主動輪詢命令，而是耐心等待命令。這種復雜的方法使黑客能夠謹慎地保留對受感染系統的控制。

Kandykorn 惡意軟件策略揭示與 Lazarus 集團的聯系

Elastic Security Labs 提供了有關 Kandykorn 功能的寶貴見解，展示了其在執行文件上傳和下載、進程操作以及執行任意系統命令方面的熟練程度。特別值得關注的是它對反射二進制加載的利用，這是一種與臭名昭著的 Lazarus Group 相關的無文件執行技術。拉撒路集團因參與加密貨幣盜竊和逃避國際制裁而聞名。

此外，有令人信服的證據表明這次襲擊與朝鮮的拉撒路集團有關。技術、網絡基礎設施、用於籤署惡意軟件的證書以及用於檢測 Lazarus 組織活動的自定義方法的相似性都表明他們參與其中。

此外，鏈上交易揭示了 Atomic Wallet、Alphapo、CoinsPaid、Stake.com 和 CoinEx 的安全漏洞之間的聯系。這些聯系進一步證明了 Lazarus 集團參與了這些攻擊活動。

在最近的另一起事件中，Lazarus Group 試圖通過欺騙用戶從 GitHub 下載加密貨幣交易應用程序來危害運行 macOS 的 Apple 計算機。一旦毫無戒心的用戶安裝了該軟件並授予其管理訪問權限，攻擊者就獲得了進入操作系統的後門，從而允許遠程訪問。

通過深入研究這些細節，Elastic Security Labs 揭示了 Lazarus 組織採用的復雜策略，強調了強有力的網絡安全措施對於防範此類威脅的重要性。

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。