Peretas Korea Utara Menargetkan Insinyur Crypto dengan Malware Kandykorn

Menurut CryptoPotato, Elastic Security Labs baru-baru ini menemukan sebuah intrusi cyber canggih yang dilakukan oleh peretas Korea Utara yang diyakini terkait dengan kelompok Lazarus. Insiden tersebut, yang dilacak sebagai REF7001, melibatkan penggunaan malware macOS baru bernama Kandykorn, yang secara khusus dirancang untuk menargetkan para insinyur blockchain yang terlibat dalam platform pertukaran mata uang kripto. Malware ini didistribusikan melalui pesan pribadi di server Discord publik, yang tidak lazim dalam taktik penyusupan macOS Malware Kandykorn memulai komunikasi dengan server command-and-control (C2), menggunakan RC4 terenkripsi dan menerapkan mekanisme jabat tangan yang berbeda. Malware ini dengan sabar menunggu perintah, sehingga memungkinkan peretas mempertahankan kendali atas sistem yang disusupi secara diam-diam. Elastic Security Labs telah memberikan wawasan berharga tentang kemampuan Kandykorn, yang menunjukkan kemahirannya dalam melakukan pengunggahan dan pengunduhan file, manipulasi proses, dan eksekusi perintah sistem yang sewenang-wenang. Malware ini juga menggunakan pemuatan biner reflektif, teknik eksekusi tanpa file yang terkait dengan Lazarus Group yang terkenal kejam, Ada bukti kuat yang mengaitkan serangan ini dengan Lazarus Group di Korea Utara, termasuk kesamaan dalam teknik, infrastruktur jaringan, sertifikat yang digunakan untuk menandatangani perangkat lunak berbahaya, dan metode khusus untuk mendeteksi aktivitas Lazarus Group. Transaksi on-chain telah mengungkapkan hubungan antara pelanggaran keamanan di Atomic Wallet, Alphapo, CoinsPaid, Stake.com, dan CoinEx, yang semakin membuktikan partisipasi Lazarus Group dalam eksploitasi ini. Elastic Security Labs telah menekankan pentingnya langkah-langkah keamanan siber yang kuat untuk melindungi dari ancaman semacam itu.