Staatlich unterstützte Hacker aus der Demokratischen Volksrepublik Korea (DVRK) haben Blockchain-Ingenieure einer nicht genannten Krypto-Börsenplattform über Discord mit einer neuartigen macOS-Malware namens KANDYKORN angegriffen.
Elastic Security Labs berichtet, dass diese Aktivitäten, die bis April 2023 zurückverfolgt wurden, Parallelen zur berüchtigten Hackergruppe Lazarus Group aufweisen. „Die Angreifer lockten Blockchain-Ingenieure mit einer Python-Anwendung, um erstmaligen Zugang zu erhalten“, sagten die Sicherheitsforscher Ricardo Ungureanu, Seth Goodwin und Andrew Pease in einem heute veröffentlichten Bericht.
Die Besonderheit der neuen Kampagne ist die Imitation von Blockchain-Ingenieuren auf einem öffentlichen Discord-Server. Die Opfer wurden mittels Social Engineering dazu verleitet, ein ZIP-Archiv mit bösartigem Code herunterzuladen und auszuführen.
KANDYKORN ist ein fortgeschrittener Implantat-Trojaner, der in der Lage ist, Aktionen zu überwachen, mit Systemen zu interagieren und Detektion zu vermeiden.
In einer weiteren Entwicklung wurde eine aktualisierte Variante einer Android-Spionagesoftware namens FastViewer entdeckt, die von einer nordkoreanischen Bedrohungsgruppe namens Kimsuky verwendet wird – einer Partnerorganisation der Lazarus Group.
FastViewer tarnt sich als harmlose Sicherheits- oder E-Commerce-Apps und sammelt heimlich sensible Daten von kompromittierten Geräten. Eine auffällige Neuerung der neuesten Version ist die Integration der Funktionalität von FastSpy in FastViewer, wodurch das Herunterladen zusätzlicher Malware überflüssig wird.
Die Forscher betonen, dass die DVRK, durch Gruppen wie die Lazarus Group, weiterhin das Ziel verfolgt, Kryptowährungen zu stehlen, um internationale Sanktionen zu umgehen, die das Wachstum ihrer Wirtschaft und Ambitionen behindern.