Lazarus Group 利用新的恶意软件“KANDYKORN”瞄准加密货币交易所
Summary:
据 Elastic 安全实验室称,朝鲜网络犯罪集团 Lazarus Group 最近部署了一种新型恶意软件“KANDYKORN”,以破坏加密货币交易所。在Lazarus Group成员冒充区块链工程师并诱骗交易所的工程师下载一个据称有利可图的套利机器人之后,这家安全公司发现了KANDYKORN。然而,该机器人是一个有害文件,它与未知的 Google Drive 帐户建立了连接并下载了其他恶意内容。此内容包括“SUGARLOADER”,它可以绕过大多数恶意软件检测系统。安装后,它将 KANDYKORN 直接下载到设备的内存中,准备执行各种有害操作。Elastic 认为,这种仍然活跃的威胁最初发生在 2023 年 4 月。
据报道,臭名昭著的 Lazarus Group 使用了一种创新的恶意软件变种,旨在破坏加密货币交易所,正如 Elastic Security Labs 于 10 月 31 日发布的分析报告所述。这种新的有害软件已被 Elastic 标记为“KANDYKORN”,由于其单数的“.sld”文件扩展名,在内存中煽动它的加载程序操作被称为“SUGARLOAD”。Elastic 仍未披露所针对的加密货币交易所。
2023 年,加密平台遭到了大量私钥泄露的围攻,主要可以追溯到臭名昭著的朝鲜网络犯罪集团 Lazarus Group。
至于有问题的攻击,Elastic 报告称,Lazarus Group 通过伪装成区块链专业人士发起了攻击,引诱匿名加密平台的工程师。攻击者通过 Discord 建立联系,欺诈性地声称他们已经创建了一个成功的套利机器人,能够从不同加密货币交易所之间的价格变化中获利。他们说服工程师下载这个所谓的“机器人”。具有欺骗性名称的文件,如“config.py”和“pricetable.py”,被藏在程序的zip文件夹中,使其看起来像一个真正的套利机器人。
当工程师启动程序时,欺骗性陷阱就出现了,激活了一个“Main.py”文件,该文件执行了一系列标准操作,同时运行了一个称为“Watcher.py”的有害文件。该文件有助于连接到外部 Google Drive 帐户,将内容从中提取到另一个名为 testSpeed.py 的文件,然后在根除之前运行一次以保护任何证据。
在单独执行 testSpeed.py 期间,该程序获取了更多内容,并最终激活了 Elastic 称之为“SUGARLOADER”的文件。通过使用“二进制打包程序”,该文件被隐藏起来,使大多数恶意软件搜索软件基本上无法检测到它。尽管如此,Elastic 还是在初始化后暂停了程序并拍摄了进程虚拟内存的快照后发现了它。在进行 VirusTotal 恶意软件检测测试时,SUGARLOADER 结果是干净的。
在渗透到计算机系统后,SUGARLOADER 与异地服务器同步,并将 KANDYKORN 直接下载到设备的内存中。KANDYKORN 配备了一系列由远程服务器操作的功能,以执行各种有害操作。命令“0xD3”等功能允许攻击者访问目标计算机上的目录内容,而“resp_file_down”则有助于将文件从受害者的系统传输到攻击者的系统。
Elastic 估计攻击发生在 2023 年 4 月,并强烈怀疑正在进行的恶意活动,并声明如下:“这种威胁仍然活跃,工具和技术正在不断发展。
在 2023 年期间,一波攻击袭击了中心化的加密货币交易所和应用程序。这些入侵的受害者包括 Alphapo、CoinsPaid、Atomic Wallet 和 Coinex 到 Stake 等。这些攻击中的大多数似乎都围绕着从受害者的设备中提取私钥,随后用于将客户端加密货币重定向到攻击者的指定地址。美国联邦调查局 (FBI) 直接牵涉到受污染的 Lazarus Group 与 Coinex 和 Stake 抢劫案等有关。
Published At
11/1/2023 9:00:00 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.