Die Lazarus-Gruppe setzt die Malware „Kandykorn“ auf einer Börse ein

Elastic Security Labs hat kürzlich bekannt gegeben . Die Lazarus-Gruppe versuchte, mithilfe einer neuartigen Malware namens „Kandykorn“ in eine Kryptowährungsbörse einzudringen. Begleitend zu dieser Malware wurde das Loader-Programm „Sugarload“ mit der charakteristischen Dateiendung „.sld“ installiert. Obwohl die betroffene Börse nicht genannt wurde, gibt die von der Lazarus-Gruppe angewandte Methodik Anlass zu erheblichen Bedenken.

Elastic Security Labs enthüllt die Aktivitäten der Lazarus-Gruppe

Im Jahr 2023 kam es zu einem sprunghaften Anstieg von Angriffen auf private Schlüssel von Kryptobörsen, die größtenteils der nordkoreanischen Cyberkriminellengruppe Lazarus Group zugeschrieben werden. Die Lazarus Group gab sich bei diesen Angriffen als Blockchain-Ingenieure aus und kontaktierte über Discord Ingenieure der nicht genannten Kryptobörse. Sie boten einen Arbitrage-Bot an, der angeblich Kursunterschiede von Kryptowährungen an verschiedenen Börsen ausnutzen konnte.

Indem sie die Dateien im ZIP-Ordner des Programms als „config.py“ und „pricetable.py“ tarnten und so den Eindruck eines Arbitrage-Bots erweckten, brachten sie die Entwickler erfolgreich dazu, einen scheinbar nützlichen „Bot“ herunterzuladen. Nach dem Start des Programms wurde die Datei „Main.py“ erstellt, die sowohl harmlose Programme als auch die schädliche Komponente „Watcher.py“ enthielt. Watcher.py stellte eine Verbindung zu einem entfernten Google Drive-Konto her und lud Inhalte in eine Datei namens „testSpeed.py“ herunter

Nach einmaliger Ausführung lud testSpeed.py zusätzliche Inhalte herunter und führte eine Datei namens „Sugarloader“ aus. Die schädliche Datei Sugarloader war mithilfe eines Binärpackers verschleiert, wodurch sie die meisten Malware-Erkennungssysteme umgehen konnte. Elasticdentsie, indem es das Programm nach Beginn der Initialisierungsfunktionen unterbrach und einen Snapshot des virtuellen Speichers des Prozesses erstellte. Obwohl Sugarloader von VirusTotal als harmlos eingestuft wurde, gelang es ihm, Kandykorn auf das System herunterzuladen, sobald eine Verbindung zu einem Remote-Server hergestellt wurde.

Zunehmende Cybersicherheitsherausforderungen im Kryptosektor im Jahr 2023

Kandykorn, das sich im Speicher des Geräts befindet, verfügt über verschiedene Funktionen, die es dem entfernten Server ermöglichen, schädliche Aktivitäten auszuführen. Beispielsweise können Befehle wie „0xD3“ den Inhalt des Computerverzeichnisses eines Opfers auflisten, und „resp_file_down“ kann die Dateien des Opfers auf das System des Angreifers übertragen. Elastic vermutet, dass der Angriff im April 2023 stattfand, was auf eine anhaltende Bedrohung durch die kontinuierliche Entwicklung von Werkzeugen und Techniken für schädliche Zwecke hindeutet.

Diese Entwicklung entspricht dem vorherrschenden Trend aus dem Jahr 2023, in dem zentralisierte Kryptobörsen und -Apps mehreren Angriffen ausgesetzt waren. Alphapo, CoinsPaid, Atomic Wallet, Coinex und Stake gehörten zu den Zielen. Die Angriffe umfassten den Diebstahl privater Schlüssel von den Geräten der Opfer, wodurch die Kryptowährung der Kunden an die Adressen der Angreifer transferiert werden konnte. Behörden, darunter das FBI, brachten mehrere dieser Angriffe mit der Lazarus-Gruppe in Verbindung.

Vorfälledentwie der Coinex-Hack und der Stake-Angriff wurden mit dieser Cyberkriminellen-Organisation in Verbindung gebracht. Das Auftreten von Kandykorn und des zugehörigen Loaders Sugarload im Kontext der Aktivitäten der Lazarus-Gruppe stellt ein erhebliches Sicherheitsrisiko im Kryptowährungsbereich Natur dieser Bedrohungen erfordert erhöhte Wachsamkeit und kontinuierliche Verbesserungen der Sicherheitsmaßnahmen, um solchen bösartigen Aktivitäten entgegenzuwirken.