Elastic Security Labsは先日、を発表しました。Lazarus Groupが「Kandykorn」と呼ばれる新しいマルウェアを用いて暗号通貨取引所への侵入を試みたというものです。このマルウェアには、特徴的な「.sld」拡張子で知られるローダープログラム「Sugarload」が使用されていました。標的となった取引所は具体的には明らかにされていませんが、Lazarus Groupが用いた手法は大きな懸念を抱かせます。
Elastic Security LabsがLazarus Groupの活動を発表
2023年には、暗号資産取引所における秘密鍵ハッキングが急増しました。これは主に北朝鮮のサイバー犯罪グループ「ラザルス・グループ」によるものとされています。この攻撃におけるラザルス・グループの手口は、ブロックチェーンエンジニアを装い、匿名の暗号資産取引所のエンジニアとDiscordを介してやり取りすることでした。彼らは協力者を装い、複数の取引所間の暗号資産の価格差を悪用できるとされる裁定取引ボットを提供しました。.
プログラムのZIPフォルダ内のファイルを「config.py」と「pricetable.py」に偽装し、裁定取引ボットを装うことで、エンジニアたちは一見有益な「ボット」をダウンロードすることに成功しました。プログラムを実行すると、「Main.py」ファイルが起動され、その中には無害なプログラムと悪意のあるコンポーネント「Watcher.py」が含まれていました。Watcher.pyはリモートのGoogle Driveアカウントに接続し、「testSpeed.py」というファイルにコンテンツをダウンロードしました。
testSpeed.pyは一度実行した後、追加コンテンツをダウンロードし、「Sugarloader」というファイルを実行しました。この悪意あるSugarloaderファイルは「バイナリパッカー」によって隠蔽されており、ほとんどのマルウェア検出システムを回避していました。Elasticsearchは、初期化関数の実行開始後にプログラムをdentし、プロセスの仮想メモリのスナップショットを取得することでSugarloaderを検出しました。VirusTotalのマルウェア検出では無害と判定されていたにもかかわらず、Sugarloaderはリモートサーバーに接続することでKandykornをシステムにダウンロードすることに成功しました。.
2023年の暗号資産セクターにおけるサイバーセキュリティの課題の増大
デバイスのメモリに常駐するKandykornは、リモートサーバーが悪意のある活動を実行できるようにする様々な機能を備えています。例えば、「0xD3」のようなコマンドは、被害者のコンピュータディレクトリの内容を一覧表示したり、「resp_file_down」は被害者のファイルを攻撃者のシステムに転送したりすることができます。Elasticは、この攻撃は2023年4月に発生した可能性が高いと示唆しており、悪意のあるツールや手法が継続的に開発されているため、脅威が依然として存在していることを示しています。.
この展開は、2023年に中央集権型暗号資産取引所やアプリが複数の攻撃に遭遇したという、当時の一般的な傾向と一致しています。Alphapo、CoinsPaid、Atomic Wallet、Coinex、Stakeなどが標的となり、被害者のデバイスから秘密鍵が盗まれ、顧客の暗号資産が攻撃者のアドレスに送金されるという攻撃が行われました。米国連邦捜査局(FBI)を含む当局は、これらの攻撃のいくつかをLazarus Groupとの関連があると指摘しました。.
CoinexハッキングやStake攻撃といったインシデントは、このサイバー犯罪組織と関連しています。Lazarusグループの活動の中でKandykornとその関連ローダーであるSugarloadが登場したことは、暗号通貨業界における重大なセキュリティ上の懸念事項となっています。dentの脅威は根強く存在し続けるため、悪意ある活動に対抗するためには、警戒を強化し、セキュリティ対策を継続的に改善していく必要があります。
