Elastic 旗下的安全實驗室揭露北韓駭客Lazarus的攻擊行動，研究人員看到駭客鎖定加密貨幣交易平臺的區塊鏈工程師，散布macOS惡意程式Kandykorn。

Kandykorn是一種複雜的惡意程式，具有多種功能，包括：

• 竊取敏感資訊，例如密碼、憑證、金融資訊等

• 控制受感染的電腦，例如遠端執行指令、竊取檔案等

• 在受感染的電腦上安裝其他惡意程式
   

網路攻擊者先是在公開的Discord 伺服器偽稱區塊鍊工程師，利用社交工程手法，提供加密貨幣機器人，引誘目標人士下載帶有惡意程式碼ZIP壓縮檔，一但目標人士執行其中的指令碼，就有可能導致電腦被植入惡意程式。

 

乍看之下，這個指令碼沒有惡意內容，似乎執行的是普通的功能，只是將其它的Python指令碼當作模組導入，然而研究人員分析watcher.py指令碼內容，發現攻擊者的意圖。

 

                                                 (指令碼watcher.py，攻擊關聯圖)

 

網路攻擊者利用打包程式進行混淆處理，導致採用靜態分析做法的資安系統，能夠解析的程式有限。研究人員發現對方在程式碼當中利用還有跳轉(JMP)的起始函數，將標頭指定到尚未定義的記憶體位址，然後於記憶體內解壓縮可執行檔，由於對方利用了這種手法，截至研究人員揭露這起攻擊行動時，惡意軟體分析平臺 VirusTotal  所有的防毒引擎皆將 Sugarloader 視為無害。

 

 這些惡意程式主要功能之一，就是從C2下載 Kandykorn的有效負載，根據分析，網路攻擊組織同時設置了C2的備援IP位址，以防主要伺服器無法存取的情況。

一旦惡意程式的設定組態載入記憶體並解密，就會建立與遠端伺服器的連線並取得 Kandykorn，而為了能夠持續在受害者電腦運作，網路攻擊者也透過 Sugarloader
建立名為 Hloader的惡意程式 Discord 主程式 ，同樣的 VirusTotal 所有的防毒引擎也將該惡意程式視為無害

 

以下是一些防範Kandykorn攻擊的建議：

• 安裝最新的Mac OS更新，其中包含安全修補程式。

• 使用強密碼和多因素驗證，保護您的帳戶。

• 不要開啟來自未知來源的檔案或連結。

• 定期掃描您的電腦，以查找惡意程式。

 

參考資料 :  https://www.ithome.com.tw/news/159642