Lazarus Group использует новое вредоносное ПО «KANDYKORN» для атак на криптобиржи
Summary:
По данным Elastic Security Labs, северокорейский киберпреступный синдикат Lazarus Group недавно развернул новую разновидность вредоносного ПО «KANDYKORN» для взлома криптобиржи. Охранная фирма обнаружила KANDYKORN после того, как члены Lazarus Group выдали себя за блокчейн-инженеров и обманом заставили инженеров биржи загрузить якобы прибыльного арбитражного бота. Бот, однако, представлял собой вредоносный файл, который устанавливал соединение с неизвестной учетной записью Google Drive и загружал дополнительный вредоносный контент. Этот контент включал в себя «SUGARLOADER», который мог обойти большинство систем обнаружения вредоносных программ. После установки он загружал KANDYKORN непосредственно в память устройства, подготавливая его к выполнению различных вредоносных операций. Elastic считает, что все еще активная угроза первоначально возникла в апреле 2023 года.
Печально известная Lazarus Group, как сообщается, использовала инновационный вариант вредоносного ПО, нацеленный на взлом криптобиржи, как указано в анализе, опубликованном Elastic Security Labs 31 октября. Это новое вредоносное программное обеспечение было помечено Elastic как «KANDYKORN», а операция загрузчика, которая запускает его в памяти, получила название «SUGARLOAD» из-за его единственного расширения файла «.sld». Криптовалютная биржа, на которую нацелена атака, остается нераскрытой Elastic.
В 2023 году криптоплатформы были осаждены многочисленными утечками закрытых ключей, в основном связанными с печально известным северокорейским киберпреступным синдикатом Lazarus Group.
Что касается атаки, о которой идет речь, Elastic сообщает, что Lazarus Group инициировала атаку, маскируясь под профессионалов блокчейна, заманивая инженеров анонимной криптоплатформы. Установив контакт через Discord, злоумышленники обманным путем заявили, что создали успешного арбитражного бота, способного зарабатывать на колебаниях цен между различными криптобиржами. Они убедили инженеров скачать этого так называемого «бота». Файлы с обманчивыми названиями, такие как «config.py» и «pricetable.py», были спрятаны в zip-папке программы, что придавало ей вид настоящего арбитражного бота.
Обманчивая ловушка сработала, когда инженеры запустили программу, активировав файл «Main.py», который выполнял множество стандартных операций, одновременно запуская вредоносный файл, известный как «Watcher.py». Этот файл облегчал подключение к внешней учетной записи Google Диска, извлекая контент из нее в другой файл с именем testSpeed.py, который затем запускался один раз, прежде чем был удален для защиты любых доказательств.
Во время одиночного выполнения testSpeed.py программа получала дополнительный контент и в конечном итоге активировала файл, который Elastic называет «SUGARLOADER». Благодаря использованию «двоичного упаковщика» этот файл был скрыт, что сделало его в значительной степени необнаруживаемым для большинства программ, ищущих вредоносное ПО. Тем не менее, Elastic обнаружил его после того, как приостановил работу программы после инициализации и сделал снимок виртуальной памяти процесса. При тестировании обнаружения вредоносного ПО VirusTotal SUGARLOADER оказался чистым.
После проникновения в компьютерную систему, SUGARLOADER синхронизировался с удаленным сервером и загружал KANDYKORN прямо в память устройства. KANDYKORN снабжен набором функций, управляемых удаленным сервером, для выполнения различных вредоносных операций. Такие функции, как команда «0xD3», позволяют злоумышленнику получить доступ к содержимому каталога на целевой машине, в то время как «resp_file_down» облегчает передачу файлов из системы жертвы в систему злоумышленника.
По оценкам Elastic, атака произошла в апреле 2023 года, и сильно подозревает продолжающуюся вредоносную активность со следующим заявлением: «Эта угроза все еще активна, а инструменты и методы постоянно разрабатываются».
В течение 2023 года на централизованные криптобиржи и приложения обрушилась волна атак. Жертвами этих вторжений становятся, в частности, Alphapo, CoinsPaid, Atomic Wallet и Coinex, а также Stake. Большинство этих атак, по-видимому, были связаны с извлечением закрытого ключа с устройства жертвы, который впоследствии использовался для перенаправления клиентской криптовалюты на указанный злоумышленником адрес. Федеральное бюро расследований (ФБР) США напрямую причастно к ограблениям Coinex и Stake.
Published At
11/1/2023 9:00:00 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.