新型 KANDYKORN macOS 恶意软件的威胁

文章要点

KANDYKORN 恶意软件由与朝鲜的拉撒路组织Lazarus Group相关的攻击者部署。目标为某个未披露的加密货币交易所的区块链工程师。攻击者通过 Discord 冒充工程师，传播伪装成套利机器人的 Python 应用程序。KANDYKORN 可进行文件枚举、数据外泄、恶意软件执行、进程终止和任意命令执行。

最新报告显示，自四月以来，关联于朝鲜的拉撒路组织的威胁行为者在对某家不明加密货币交易所的区块链工程师实施攻击，部署了新型的 KANDYKORN macOS 恶意软件。黑客新闻网 的报道指出，攻击者通过 Discord 冒充工程师，传播了一款伪装成套利机器人的 Python 应用程序，该程序可以获取执行 SUGARLOADER 第二阶段有效负载的 Python 文件，然后再下载和执行 KANDYKORN 远程访问木马。

KANDYKORN 拥有多种能力，可以监视、交互并避免检测，它使用反射加载，是一种可能绕过检测的直接内存执行形式。

除了帮助文件枚举和数据外泄外，KANDYKORN 还可以实现额外的恶意软件执行、进程终止和任意命令执行。研究人员表示：“KANDYKORN 是一种先进的植入程序，具备多种能力。”

蚂蚁NPV加速器安卓

这一报告发布的背景是， S2W 威胁分析研究人员近期注意到，与朝鲜威胁集群 Kimsuky也称为 APT43相关的攻击事件中，涉及到更新版本的 FastViewer 恶意软件。

额外信息

特征描述恶意软件名称KANDYKORN攻击者与朝鲜拉撒路组织相关的威胁行为者攻击目标不明的加密货币交易所的区块链工程师传播方式Discord 冒充，传播伪装的 Python 程序功能文件枚举、数据外泄、恶意软件执行、进程终止等

了解这些信息对保护个人和公司免受此类威胁至关重要，建议所有相关方提高警惕，确保采取适当的安全措施。