In una recente rivelazione, Elastic Security Labs ha scoperto una sofisticata intrusione informatica da parte di hacker nordcoreani ritenuti associati al gruppo Lazarus.
Questo incidente, tracciato come REF7001, ha comportato l'uso di un nuovo malware macOS denominato Kandykorn, progettato specificamente per prendere di mira gli ingegneri blockchain coinvolti nelle piattaforme di scambio di criptovalute.
Gli hacker nordcoreani prendono di mira gli ingegneri crittografici con malware distribuito da Discord
Elastic Security Labs ha denunciato una sofisticata intrusione informatica da parte di hacker nordcoreani ritenuti associati al famigerato Lazarus Group. Questo incidente, che ha preso di mira gli ingegneri blockchain coinvolti nelle piattaforme di scambio di criptovaluta, ha utilizzato un ingannevole programma Python mascherato da bot di arbitraggio di criptovaluta.
Ciò che distingue questo attacco è il suo metodo di distribuzione: gli aggressori hanno distribuito il malware tramite un messaggio privato su un server Discord pubblico, cosa atipica delle tattiche di intrusione di macOS.
"La vittima credeva che stessero installando un bot di arbitraggio, uno strumento software in grado di trarre profitto dalle differenze di tasso di criptovaluta tra le piattaforme", hanno spiegato i ricercatori di Elastic Security Labs.
Dopo l'installazione, il malware Kandykorn avvia la comunicazione con un server di comando e controllo (C2), utilizzando RC4 crittografato e implementando un meccanismo di handshake distinto. Invece di interrogare attivamente i comandi, li attende pazientemente. Questo metodo sofisticato consente agli hacker di mantenere discretamente il controllo sui sistemi compromessi.
Le tattiche del malware Kandykorn rivelano legami con il gruppo Lazarus
Elastic Security Labs ha fornito preziosi approfondimenti sulle capacità di Kandykorn, dimostrando la sua competenza nell'esecuzione di upload e download di file, manipolazione di processi ed esecuzione di comandi di sistema arbitrari. Di particolare preoccupazione è l'utilizzo del caricamento binario riflettente, una tecnica di esecuzione senza file associata al famigerato Lazarus Group. Il Gruppo Lazarus è rinomato per il suo coinvolgimento nel furto di criptovaluta e nell'evasione delle sanzioni internazionali.
Inoltre, esistono prove convincenti che collegano questo attacco al Gruppo Lazarus in Corea del Nord. La somiglianza nelle tecniche , nell'infrastruttura di rete, nei certificati utilizzati per firmare software dannoso e nei metodi personalizzati per rilevare le attività del Lazarus Group indica tutti il loro coinvolgimento.
Inoltre, le transazioni on-chain hanno rivelato connessioni tra violazioni della sicurezza su Atomic Wallet, Alphapo, CoinsPaid, Stake.com e CoinEx. Queste connessioni dimostrano ulteriormente la partecipazione del Gruppo Lazarus a questi exploit.
In un recente incidente separato, il Gruppo Lazarus ha tentato di compromettere i computer Apple con macOS inducendo gli utenti a scaricare un'app di trading di criptovalute da GitHub. Una volta che gli utenti ignari hanno installato il software e gli hanno concesso l'accesso amministrativo, gli aggressori sono riusciti a entrare nel sistema operativo tramite backdoor, consentendo l'accesso remoto.
Approfondendo questi dettagli, Elastic Security Labs ha fatto luce sulle sofisticate tattiche impiegate dal Lazarus Group, sottolineando l’importanza di solide misure di sicurezza informatica per salvaguardarsi da tali minacce.
Il post Utenti macOS attenti: hacker nordcoreani in prowl è apparso per la prima volta su CryptoPotato .