Lazarus Group nutzt neue Malware "KANDYKORN", um Krypto-Börsen ins Visier zu nehmen
Summary:
Das nordkoreanische Cybercrime-Syndikat Lazarus Group hat kürzlich eine neue Art von Malware, "KANDYKORN", eingesetzt, um in eine Krypto-Börse einzudringen, so Elastic Security Labs. Die Sicherheitsfirma entdeckte KANDYKORN, nachdem sich die Mitglieder der Lazarus Group als Blockchain-Ingenieure ausgegeben und die Ingenieure der Börse dazu gebracht hatten, einen angeblich profitablen Arbitrage-Bot herunterzuladen. Bei dem Bot handelte es sich jedoch um eine schädliche Datei, die eine Verbindung zu einem unbekannten Google Drive-Konto herstellte und zusätzliche schädliche Inhalte herunterlud. Zu diesen Inhalten gehörte auch "SUGARLOADER", der die meisten Malware-Erkennungssysteme umgehen konnte. Nach der Installation lud es KANDYKORN direkt in den Speicher des Geräts herunter und bereitete es darauf vor, verschiedene schädliche Operationen auszuführen. Elastic geht davon aus, dass die immer noch aktive Bedrohung ursprünglich im April 2023 aufgetreten ist.
Die berüchtigte Lazarus Group hat Berichten zufolge eine innovative Malware-Variante verwendet, die darauf abzielt, in eine Kryptobörse einzudringen, wie aus einer am 31. Oktober von Elastic Security Labs veröffentlichten Analyse hervorgeht. Diese neue schädliche Software wurde von Elastic als "KANDYKORN" bezeichnet, wobei die Loader-Operation, die sie im Speicher auslöst, aufgrund ihrer einzigartigen Dateierweiterung ".sld" als "SUGARLOAD" bezeichnet wird. Die Kryptobörse, auf die es abzielt, wird von Elastic nicht bekannt gegeben.
Im Jahr 2023 wurden Krypto-Plattformen mit zahlreichen Private-Key-Verstößen belagert, die hauptsächlich auf das berüchtigte nordkoreanische Cybercrime-Syndikat Lazarus Group zurückzuführen sind.
Was den fraglichen Angriff betrifft, so berichtet Elastic, dass die Lazarus Group den Angriff initiiert hat, indem sie sich als Blockchain-Profis ausgab und Ingenieure der anonymen Krypto-Plattform anlockte. Die Angreifer nahmen den Kontakt über Discord auf und behaupteten in betrügerischer Absicht, einen erfolgreichen Arbitrage-Bot entwickelt zu haben, der in der Lage ist, von Preisschwankungen zwischen verschiedenen Kryptobörsen zu profitieren. Sie überredeten die Ingenieure, diesen sogenannten "Bot" herunterzuladen. Irreführend benannte Dateien wie "config.py" und "pricetable.py" wurden im Zip-Ordner des Programms versteckt, was ihm den Anschein eines echten Arbitrage-Bots verlieh.
Die trügerische Falle wurde zugeschnappt, als die Ingenieure das Programm starteten und eine "Main.py"-Datei aktivierten, die eine Reihe von Standardoperationen ausführte, während sie gleichzeitig eine schädliche Datei namens "Watcher.py" ausführte. Diese Datei ermöglichte eine Verbindung zu einem externen Google Drive-Konto und zog Inhalte von dort in eine andere Datei mit dem Namen testSpeed.py, die dann einmal ausgeführt wurde, bevor sie gelöscht wurde, um alle Beweise zu schützen.
Während der einsamen Ausführung von testSpeed.py holte sich das Programm weitere Inhalte und aktivierte schließlich eine Datei, die Elastic als "SUGARLOADER" bezeichnet. Durch die Verwendung eines "Binärpackers" wurde diese Datei verborgen, so dass sie für die meisten Malware-suchenden Programme weitgehend unauffindbar war. Elastic entdeckte es jedoch, nachdem das Programm nach der Initialisierung angehalten und ein Snapshot des virtuellen Speichers des Prozesses erstellt wurde. Bei VirusTotal-Malware-Erkennungstests schnitt SUGARLOADER fehlerfrei ab.
Nach dem Eindringen in das Computersystem synchronisierte sich SUGARLOADER mit einem externen Server und lud KANDYKORN direkt in den Speicher des Geräts herunter. KANDYKORN ist mit einer Reihe von Funktionen ausgestattet, die vom Remote-Server bedient werden, um verschiedene schädliche Operationen durchzuführen. Funktionen wie der Befehl "0xD3" ermöglichen es dem Angreifer, auf den Inhalt eines Verzeichnisses auf dem Zielrechner zuzugreifen, während "resp_file_down" die Übertragung von Dateien vom System des Opfers auf das des Angreifers erleichtert.
Elastic schätzt, dass der Angriff im April 2023 stattgefunden hat, und vermutet starke böswillige Aktivitäten mit der folgenden Erklärung: "Diese Bedrohung ist immer noch aktiv und die Tools und Techniken werden kontinuierlich weiterentwickelt."
Im Laufe des Jahres 2023 hat eine Welle von Angriffen zentralisierte Kryptobörsen und Apps getroffen. Zu den Opfern dieser Invasionen gehören unter anderem Alphapo, CoinsPaid, Atomic Wallet und Coinex bis hin zu Stake. Ein Großteil dieser Angriffe schien sich um die Extraktion eines privaten Schlüssels vom Gerät des Opfers zu drehen, der anschließend verwendet wurde, um Client-Kryptowährung an die angegebene Adresse des Angreifers umzuleiten. Die verdorbene Lazarus-Gruppe wurde unter anderem vom US-amerikanischen Federal Bureau of Investigation (FBI) direkt in die Coinex- und Pfahl-Raubüberfälle verwickelt.
Published At
11/1/2023 9:00:00 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.