قامت مجموعة لازاروس بنشر برمجية خبيثة تُدعى "كانديكورن" على منصة تداول

كشفت شركة Elastic Security Labs مؤخرًا عن تطور هام في مجال الأمن السيبراني، حيث سعت مجموعة Lazarus Group إلى اختراق منصة تداول عملات رقمية باستخدام نوع جديد من البرمجيات الخبيثة يُعرف باسم "Kandykorn". وقد رافق هذه البرمجية الخبيثة برنامج تحميل يُدعى "Sugarload"، والذي يتميز بامتداده ".sld". ورغم عدم الكشف عن المنصة المستهدفة تحديدًا، إلا أن الأسلوب الذي اتبعته مجموعة Lazarus Group يثير مخاوف جدية.

كشفت شركة Elastic Security Labs عن أنشطة مجموعة Lazarus

في عام 2023، لوحظ ارتفاع ملحوظ في عمليات اختراق المفاتيح الخاصة في منصات تداول العملات الرقمية، والتي تُعزى في معظمها إلى مجموعة لازاروس الكورية الشمالية للجرائم الإلكترونية. وقد اعتمدت المجموعة في هجومها على انتحال صفة مهندسي تقنية البلوك تشين، والتواصل مع مهندسين مرتبطين بمنصة تداول عملات رقمية لم يُكشف عن اسمها عبر منصة ديسكورد. وبصفتهم متعاونين، عرضوا برنامجًا آليًا للمراجحة، يُزعم أنه قادر على استغلال فروقات أسعار العملات الرقمية بين مختلف منصات التداول.

من خلال إخفاء الملفات داخل مجلد ZIP الخاص بالبرنامج تحت اسمي "config.py" و"pricetable.py"، في محاكاة لبرنامج مضاربة، نجحوا في إقناع المهندسين بتنزيل ما بدا أنه برنامج "بوت" مفيد. عند التشغيل، أنشأ البرنامج ملف "Main.py" الذي تضمن برامج غير ضارة ومكونًا خبيثًا باسم "Watcher.py". أنشأ Watcher.py اتصالًا بحساب Google Drive بعيد، وقام بتنزيل محتوى إلى ملف باسم "testSpeed.py"

بعد تنفيذ لمرة واحدة، قام برنامج testSpeed.py بتنزيل محتوى إضافي وتشغيل ملف يُدعى "Sugarloader". تم إخفاء ملف Sugarloader الخبيث باستخدام "أداة ضغط ثنائية"، مما مكّنه من التهرب من معظم أنظمة كشف البرامج الضارة. تمكن برنامج Elastic i منdentعن طريق مقاطعة البرنامج بعد بدء وظائف التهيئة وأخذ لقطة من الذاكرة الافتراضية للعملية. على الرغم من تصنيفه على أنه غير ضار من قِبل برنامج كشف البرامج الضارة VirusTotal، إلا أن Sugarloader تمكن من تنزيل Kandykorn على النظام عند الاتصال بخادم بعيد.

تزايد تحديات الأمن السيبراني في قطاع العملات المشفرة في عام 2023

يتمتع برنامج Kandykorn الخبيث، الموجود في ذاكرة الجهاز، بوظائف متعددة تُمكّن الخادم البعيد من تنفيذ أنشطة ضارة. فعلى سبيل المثال، يمكن لأوامر مثل "0xD3" عرض محتويات مجلد جهاز الضحية، بينما يمكن لأمر "resp_file_down" نقل ملفات الضحية إلى نظام المهاجم. وأشارت شركة Elastic إلى أن الهجوم وقع على الأرجح في أبريل 2023، مما يدل على استمرار التهديد مع التطوير المتواصل للأدوات والتقنيات المستخدمة لأغراض خبيثة.

يتماشى هذا التطور مع الاتجاه السائد الذي لوحظ في عام 2023، حيث تعرضت منصات تداول العملات الرقمية المركزية وتطبيقاتها لهجمات متعددة. وكانت منصات Alphapo وCoinsPaid وAtomic Wallet وCoinex وStake من بين الأهداف، حيث تضمنت الهجمات سرقة المفاتيح الخاصة من أجهزة الضحايا، مما مكّن من تحويل عملات العملاء الرقمية إلى عناوين المهاجمين. وقد ربطت السلطات، بما في ذلك مكتب التحقيقات الفيدرالي الأمريكي، العديد من هذه الهجمات بمجموعة لازاروس.

مثلdentاختراق منصة Coinex وهجوم Stake بهذه الجهة الإجرامية الإلكترونية. ويُشكل ظهور Kandykorn وبرنامج التحميل التابع له، Sugarload، في سياق أنشطة مجموعة Lazarus، مصدر قلق أمني كبير في العملات المشفرة . وتستلزم الطبيعة المستمرة لهذه التهديدات زيادة اليقظة والتحسينات المستمرة في التدابير الأمنية لمواجهة هذه الأنشطة الخبيثة.