लाजर समूह क्रिप्टो एक्सचेंजों को लक्षित करने के लिए नए मैलवेयर 'कैंडीकोर्न' का फायदा उठाता है
Summary:
इलास्टिक सिक्योरिटी लैब्स के अनुसार, उत्तर कोरियाई साइबर अपराध सिंडिकेट, लाजारस ग्रुप ने हाल ही में क्रिप्टो एक्सचेंज में सेंध लगाने के लिए मैलवेयर की एक नई किस्म, "कैंडीकोर्न" को तैनात किया है। सुरक्षा फर्म ने कैंडीकोर्न की खोज तब की जब लाजर समूह के सदस्यों ने खुद को ब्लॉकचेन इंजीनियर बताया और एक्सचेंज के इंजीनियरों को एक कथित लाभदायक आर्बिट्रेज बॉट डाउनलोड करने के लिए धोखा दिया। बॉट, हालांकि, एक हानिकारक फ़ाइल थी जिसने एक अज्ञात Google ड्राइव खाते से कनेक्शन स्थापित किया और अतिरिक्त दुर्भावनापूर्ण सामग्री डाउनलोड की। इस सामग्री में "शुगरलोडर" शामिल था, जो अधिकांश मैलवेयर डिटेक्शन सिस्टम को बाईपास कर सकता था। एक बार स्थापित होने के बाद, इसने सीधे डिवाइस की मेमोरी में कैंडीकोर्न डाउनलोड किया, जिससे इसे विभिन्न हानिकारक संचालन करने के लिए तैयार किया गया। इलास्टिक का मानना है कि अभी भी सक्रिय खतरा मूल रूप से अप्रैल 2023 में हुआ था।
कुख्यात लाजर समूह ने कथित तौर पर एक क्रिप्टो एक्सचेंज को तोड़ने के उद्देश्य से एक अभिनव मैलवेयर संस्करण का उपयोग किया है, जैसा कि 31 अक्टूबर को इलास्टिक सिक्योरिटी लैब्स द्वारा प्रकाशित एक विश्लेषण में उल्लिखित है। इस नए हानिकारक सॉफ़्टवेयर को इलास्टिक द्वारा "कैंडीकोर्न" लेबल किया गया है, जिसमें लोडर ऑपरेशन है जो इसे मेमोरी में उकसाता है जिसे "शुगरलोड" कहा जाता है, इसके एकमात्र ".sld" फ़ाइल एक्सटेंशन के कारण। लक्षित क्रिप्टो एक्सचेंज इलास्टिक द्वारा अज्ञात रहता है।
2023 में, क्रिप्टो प्लेटफार्मों को कई निजी-कुंजी उल्लंघनों के साथ घेर लिया गया है, जो मुख्य रूप से कुख्यात उत्तर कोरियाई साइबर अपराध सिंडिकेट, लाजर समूह से जुड़े हैं।
हमले के लिए, इलास्टिक की रिपोर्ट है कि लाजर समूह ने बेनामी क्रिप्टो प्लेटफॉर्म के इंजीनियरों को लुभाते हुए ब्लॉकचेन पेशेवरों के रूप में हमला शुरू किया। डिस्कॉर्ड के माध्यम से संपर्क स्थापित करते हुए, हमलावरों ने धोखाधड़ी से दावा किया कि उन्होंने एक सफल आर्बिट्रेज बॉट बनाया है जो विभिन्न क्रिप्टो एक्सचेंजों के बीच मूल्य भिन्नताओं को भुनाने में सक्षम है। उन्होंने इंजीनियरों को इस तथाकथित "बॉट" को डाउनलोड करने के लिए राजी किया। भ्रामक रूप से नामित फाइलें, जैसे "config.py" और "pricetable.py", प्रोग्राम के ज़िप फ़ोल्डर में छिपा ए गए थे, जिससे यह एक वास्तविक आर्बिट्रेज बॉट की उपस्थिति देता था।
भ्रामक जाल तब उभरा जब इंजीनियरों ने प्रोग्राम लॉन्च किया, एक "Main.py" फ़ाइल को सक्रिय किया, जिसने मानक संचालन की एक सरणी को अंजाम दिया, साथ ही साथ "Watcher.py" नामक एक हानिकारक फ़ाइल चलाई। इस फ़ाइल ने एक बाहरी Google ड्राइव खाते से कनेक्शन की सुविधा प्रदान की, जिससे सामग्री को testSpeed.py नामक एक अन्य फ़ाइल में खींच लिया गया, जिसे किसी भी सबूत को ढालने के लिए मिटाने से पहले एक बार चलाया गया था।
testSpeed.py के एकान्त निष्पादन के दौरान, कार्यक्रम ने आगे की सामग्री प्राप्त की और अंततः एक फ़ाइल लोचदार को सक्रिय किया जिसे "शुगरलोडर" कहा जाता है। "बाइनरी पैकर" के उपयोग के माध्यम से, इस फ़ाइल को छुपाया गया था, जिससे यह अधिकांश मैलवेयर-चाहने वाले सॉफ़्टवेयर द्वारा काफी हद तक अज्ञात हो गया था। बहरहाल, इलास्टिक ने कार्यक्रम को शुरू करने के बाद निलंबित करने और प्रक्रिया की वर्चुअल मेमोरी का स्नैपशॉट लेने के बाद इसका खुलासा किया। जब वायरसटोटल मैलवेयर डिटेक्शन परीक्षण के अधीन किया गया, तो शुगरलोडर साफ आया।
कंप्यूटर सिस्टम में अपनी घुसपैठ के बाद, शुगरलोडर ने एक ऑफसाइट सर्वर के साथ सिंक किया और सीधे डिवाइस की मेमोरी में कैंडीकोर्न डाउनलोड किया। कैंडीकोर्न विभिन्न हानिकारक कार्यों का संचालन करने के लिए रिमोट सर्वर द्वारा संचालित कार्यों की एक सरणी के साथ सुसज्जित है। कमांड "0xD3" जैसे फ़ंक्शन हमलावर को लक्षित मशीन पर निर्देशिका की सामग्री तक पहुंचने की अनुमति देते हैं, जबकि "resp_file_down" पीड़ित के सिस्टम से हमलावर के सिस्टम में फ़ाइलों के हस्तांतरण की सुविधा प्रदान करता है।
इलास्टिक का अनुमान है कि हमला 2023 के अप्रैल में हुआ था, और निम्नलिखित कथन के साथ चल रही दुर्भावनापूर्ण गतिविधि पर दृढ़ता से संदेह करता है, "यह खतरा अभी भी सक्रिय है और उपकरण और तकनीक लगातार विकसित किए जा रहे हैं।
2023 के दौरान, हमलों की एक लहर ने केंद्रीकृत क्रिप्टो एक्सचेंजों और ऐप्स पर हमला किया है। इन आक्रमणों के शिकार लोगों में अल्फापो, कॉइन्सपेड, एटॉमिक वॉलेट और कॉइनेक्स से लेकर स्टेक तक शामिल हैं। इनमें से अधिकांश हमले पीड़ित के डिवाइस से एक निजी कुंजी के निष्कर्षण के आसपास घूमते दिखाई दिए, बाद में ग्राहक क्रिप्टोक्यूरेंसी को हमलावर के निर्दिष्ट पते पर रीडायरेक्ट करने के लिए उपयोग किया गया। दागी लाजर समूह को अमेरिकी संघीय जांच ब्यूरो (एफबीआई) द्वारा कॉइनेक्स और स्टेक हाइस्ट्स सहित अन्य मामलों में सीधे तौर पर फंसाया गया है।
Published At
11/1/2023 9:00:00 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.