مجموعة لازاروس تستغل البرمجيات الخبيثة الجديدة "KANDYKORN" لاستهداف بورصات العملات المشفرة
Summary:
نشرت نقابة الجرائم الإلكترونية الكورية الشمالية ، Lazarus Group ، مؤخرا مجموعة جديدة من البرامج الضارة ، "KANDYKORN" ، لاختراق بورصة العملات المشفرة ، وفقا ل Elastic Security Labs. اكتشفت شركة الأمن KANDYKORN بعد أن تظاهر أعضاء مجموعة Lazarus بأنهم مهندسو blockchain وخدعوا مهندسي البورصة لتنزيل روبوت مراجحة مربح مزعوم. ومع ذلك ، كان الروبوت ملفا ضارا أنشأ اتصالا بحساب Google Drive غير معروف وقام بتنزيل محتوى ضار إضافي. تضمن هذا المحتوى "SUGARLOADER" ، الذي يمكنه تجاوز معظم أنظمة الكشف عن البرامج الضارة. بمجرد التثبيت ، قام بتنزيل KANDYKORN مباشرة في ذاكرة الجهاز ، وإعداده لأداء عمليات ضارة مختلفة. تعتقد Elastic أن التهديد الذي لا يزال نشطا حدث في الأصل في أبريل 2023.
وبحسب ما ورد استخدمت مجموعة Lazarus سيئة السمعة متغيرا مبتكرا من البرامج الضارة يهدف إلى اختراق بورصة العملات المشفرة ، كما هو موضح في تحليل نشرته Elastic Security Labs في 31 أكتوبر. تم تسمية هذا البرنامج الضار الجديد باسم "KANDYKORN" بواسطة Elastic ، مع عملية التحميل التي تحرضه في الذاكرة يطلق عليها اسم "SUGARLOAD" ، نظرا لامتداد الملف المفرد ".sld". لا تزال بورصة العملات المشفرة المستهدفة غير معلنة من قبل Elastic.
في عام 2023 ، تمت محاصرة منصات التشفير بالعديد من انتهاكات المفاتيح الخاصة ، والتي تعود في الغالب إلى نقابة الجرائم الإلكترونية الكورية الشمالية سيئة السمعة ، Lazarus Group.
أما بالنسبة للهجوم المعني ، فقد ذكرت Elastic أن مجموعة Lazarus بدأت الهجوم من خلال التنكر في زي محترفي blockchain ، وجذب مهندسي منصة التشفير المجهولة. من خلال إقامة اتصال عبر Discord ، ادعى المهاجمون عن طريق الاحتيال أنهم أنشأوا روبوت مراجحة ناجحا قادرا على الاستفادة من تغيرات الأسعار بين بورصات التشفير المختلفة. أقنعوا المهندسين بتنزيل ما يسمى ب "الروبوت". تم وضع الملفات المسماة بشكل مخادع ، مثل "config.py" و "pricetable.py" ، بعيدا في المجلد المضغوط للبرنامج ، مما يضفي عليه مظهر روبوت مراجحة حقيقي.
ظهر الفخ الخادع عندما أطلق المهندسون البرنامج ، وقاموا بتنشيط ملف "Main.py" الذي نفذ مجموعة من العمليات القياسية أثناء تشغيل ملف ضار يعرف باسم "Watcher.py" في نفس الوقت. سهل هذا الملف الاتصال بحساب Google Drive خارجي ، وسحب المحتوى منه إلى ملف آخر باسم testSpeed.py ، والذي تم تشغيله مرة واحدة قبل القضاء عليه لحماية أي دليل.
أثناء التنفيذ الانفرادي ل testSpeed.py ، جلب البرنامج المزيد من المحتوى وقام في النهاية بتنشيط ملف يشير إليه Elastic باسم "SUGARLOADER". من خلال استخدام "حزمة ثنائية" ، تم إخفاء هذا الملف ، مما جعله غير قابل للكشف إلى حد كبير من قبل معظم البرامج التي تبحث عن البرامج الضارة. ومع ذلك ، كشفت Elastic عن ذلك بعد تعليق البرنامج بعد التهيئة وأخذ لقطة من الذاكرة الافتراضية للعملية. عندما خضع لاختبار الكشف عن البرامج الضارة VirusTotal ، جاء SUGARLOADER نظيفا.
بعد تسلله إلى نظام الكمبيوتر ، تمت مزامنة SUGARLOADER مع خادم خارج الموقع وتنزيل KANDYKORN مباشرة إلى ذاكرة الجهاز. تم تزويد KANDYKORN بمجموعة من الوظائف التي يديرها الخادم البعيد لإجراء عمليات ضارة متنوعة. تسمح وظائف مثل الأمر "0xD3" للمهاجم بالوصول إلى محتويات الدليل على الجهاز المستهدف ، بينما يسهل "resp_file_down" نقل الملفات من نظام الضحية إلى نظام المهاجم.
تقدر Elastic أن الاعتداء وقع في أبريل من عام 2023 ، وتشك بشدة في استمرار النشاط الضار مع البيان التالي ، "لا يزال هذا التهديد نشطا ويتم تطوير الأدوات والتقنيات باستمرار".
على مدار عام 2023 ، ضربت موجة من الهجمات بورصات وتطبيقات تشفير مركزية. يتراوح ضحايا هذه الغزوات من Alphapo و CoinsPay و Atomic Wallet و Coinex إلى Stake وغيرها. يبدو أن غالبية هذه الاعتداءات تدور حول استخراج مفتاح خاص من جهاز الضحية ، يستخدم لاحقا لإعادة توجيه عملة العميل المشفرة إلى العنوان المحدد للمهاجم. تورطت مجموعة لازاروس الملوثة بشكل مباشر في عمليات السطو على Coinex و Stake ، من بين أمور أخرى ، من قبل مكتب التحقيقات الفيدرالي الأمريكي (FBI).
Published At
11/1/2023 9:00:00 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.