Lazarus Group, Kripto Borsalarını Hedeflemek İçin Yeni Kötü Amaçlı Yazılım 'KANDYKORN'dan Yararlanıyor
Summary:
Elastic Security Labs'a göre, Kuzey Koreli siber suç örgütü Lazarus Group, kısa süre önce bir kripto borsasını ihlal etmek için yeni bir kötü amaçlı yazılım türü olan "KANDYKORN"u dağıttı. Güvenlik firması, Lazarus Group üyelerinin blok zinciri mühendisleri gibi davranması ve borsa mühendislerini karlı olduğu iddia edilen bir arbitraj botunu indirmeleri için kandırmasının ardından KANDYKORN'u keşfetti. Ancak bot, bilinmeyen bir Google Drive hesabıyla bağlantı kuran ve ek kötü amaçlı içerik indiren zararlı bir dosyaydı. Bu içerik, çoğu kötü amaçlı yazılım algılama sistemini atlayabilen "SUGARLOADER" içeriyordu. Kurulduktan sonra, KANDYKORN'u doğrudan cihazın belleğine indirerek çeşitli zararlı işlemleri gerçekleştirmeye hazırladı. Elastic, hala aktif olan tehdidin ilk olarak Nisan 2023'te gerçekleştiğine inanıyor.
Kötü şöhretli Lazarus Group'un, Elastic Security Labs tarafından 31 Ekim'de yayınlanan bir analizde belirtildiği gibi, bir kripto borsasını ihlal etmeyi amaçlayan yenilikçi bir kötü amaçlı yazılım varyantı kullandığı bildirildi. Bu yeni zararlı yazılım, tekil ".sld" dosya uzantısı nedeniyle "SUGARLOAD" olarak adlandırılan bellekte başlatan yükleyici işlemiyle Eelastic tarafından "KANDYKORN" olarak etiketlendi. Hedeflenen kripto borsası Eelastic tarafından açıklanmadı.
2023'te kripto platformları, ağırlıklı olarak kötü şöhretli Kuzey Koreli siber suç örgütü Lazarus Group'a kadar uzanan çok sayıda özel anahtar ihlaliyle kuşatıldı.
Söz konusu saldırıya gelince, Elastic, Lazarus Group'un saldırıyı blockchain uzmanları gibi davranarak başlattığını ve anonim kripto platformunun mühendislerini cezbettiğini bildirdi. Discord üzerinden iletişim kuran saldırganlar, farklı kripto borsaları arasındaki fiyat değişimlerinden para kazanabilen başarılı bir arbitraj botu oluşturduklarını iddia ettiler. Mühendisleri bu sözde "botu" indirmeye ikna ettiler. "config.py" ve "pricetable.py" gibi aldatıcı bir şekilde adlandırılmış dosyalar, programın zip klasöründe saklandı ve ona gerçek bir arbitraj botu görünümü kazandırdı.
Aldatıcı tuzak, mühendisler programı başlattığında ortaya çıktı ve aynı anda "Watcher.py" olarak bilinen zararlı bir dosyayı çalıştırırken bir dizi standart işlem gerçekleştiren bir "Main.py" dosyasını etkinleştirdi. Bu dosya, harici bir Google Drive hesabına bağlantıyı kolaylaştırdı ve içeriği bu hesaptan testSpeed.py adlı başka bir dosyaya çekti ve daha sonra herhangi bir kanıtı korumak için ortadan kaldırılmadan önce bir kez çalıştırıldı.
testSpeed.py'in tek başına yürütülmesi sırasında, program daha fazla içerik getirdi ve sonunda Elastic'in "SUGARLOADER" olarak adlandırdığı bir dosyayı etkinleştirdi. Bir "ikili paketleyici" kullanılarak, bu dosya gizlendi ve çoğu kötü amaçlı yazılım arayan yazılım tarafından büyük ölçüde tespit edilemez hale geldi. Bununla birlikte, Elastic, başlatma sonrası programı askıya aldıktan ve işlemin sanal belleğinin anlık görüntüsünü aldıktan sonra bunu ortaya çıkardı. VirusTotal kötü amaçlı yazılım algılama testine tabi tutulduğunda, SUGARLOADER temiz çıktı.
Bilgisayar sistemine sızmasının ardından SUGARLOADER, tesis dışı bir sunucuyla senkronize edildi ve KANDYKORN'u doğrudan cihazın belleğine indirdi. KANDYKORN, çeşitli zararlı işlemleri yürütmek için uzak sunucu tarafından çalıştırılan bir dizi işlevle donatılmıştır. "0xD3" komutu gibi işlevler, saldırganın hedeflenen makinedeki bir dizinin içeriğine erişmesine izin verirken, "resp_file_down" dosyaların kurbanın sisteminden saldırganın sistemine aktarılmasını kolaylaştırır.
Elastic, saldırının Nisan 2023'te gerçekleştiğini tahmin ediyor ve şu ifadeyle devam eden kötü niyetli faaliyetlerden şiddetle şüpheleniyor: "Bu tehdit hala aktif ve araçlar ve teknikler sürekli olarak geliştiriliyor."
2023 boyunca, merkezi kripto borsalarını ve uygulamalarını bir saldırı dalgası vurdu. Bu istilaların kurbanları, diğerleri arasında Alphapo, CoinsPaid, Atomic Wallet ve Coinex'ten Stake'e kadar uzanıyor. Bu saldırıların çoğunun, kurbanın cihazından özel bir anahtarın çıkarılması etrafında döndüğü ve daha sonra istemci kripto para birimini saldırganın belirlenen adresine yönlendirmek için kullanıldığı ortaya çıktı. Lekeli Lazarus Grubu, diğerlerinin yanı sıra ABD Federal Soruşturma Bürosu (FBI) tarafından Coinex ve Stake soygunlarına doğrudan karıştı.
Published At
11/1/2023 9:00:00 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.