Группа Lazarus развернула вредоносное ПО «Kandykorn» на бирже

Компания Elastic Security Labs недавно представила важную разработку в области кибербезопасности. Группа Lazarus попыталась взломать криптовалютную биржу, используя новый тип вредоносного ПО, известный как «Kandykorn». Вместе с этим вредоносным ПО была запущена программа-загрузчик «Sugarload», отличающаяся характерным расширением «.sld». Хотя конкретная биржа, ставшая целью атаки, не была раскрыта, методология, использованная группой Lazarus, вызывает серьезные опасения.

Компания Elastic Security Labs раскрывает информацию о деятельности Lazarus Group

В 2023 году наблюдался всплеск взломов закрытых ключей на криптовалютных биржах, в основном приписываемых северокорейской киберпреступной группировке Lazarus Group. В ходе этой атаки Lazarus Group, выдавая себя за инженеров блокчейна, взаимодействовала с инженерами, связанными с неназванной криптовалютной биржей, через Discord. Выдавая себя за сообщников, они предлагали арбитражного бота, который якобы мог использовать разницу в ценах криптовалют на разных биржах.

Замаскировав файлы в ZIP-архиве программы под «config.py» и «pricetable.py», имитируя арбитражного бота, им удалось убедить инженеров загрузить, казалось бы, полезного «бота». После запуска программа инициировала файл «Main.py», который содержал как безобидные программы, так и вредоносный компонент «Watcher.py». Watcher.py установил соединение с удаленным аккаунтом Google Drive, загрузив контент в файл с именем «testSpeed.py»

После однократного запуска testSpeed.py загрузил дополнительный контент и выполнил файл под названием «Sugarloader». Вредоносный файл Sugarloader был скрыт с помощью «бинарного упаковщика», что позволило ему обойти большинство систем обнаружения вредоносных программ. Elasticdentего, прервав программу после начала выполнения функций инициализации и сделав снимок виртуальной памяти процесса. Несмотря на то, что система обнаружения вредоносных программ VirusTotal пометила Sugarloader как невредоносный, ему удалось загрузить Kandykorn в систему при подключении к удаленному серверу.

Рост угроз кибербезопасности в криптосекторе в 2023 году

Встроенный в память устройства вирус Kandykorn обладает различными функциями, позволяющими удалённому серверу выполнять вредоносные действия. Например, команды типа «0xD3» могут вывести список содержимого каталога компьютера жертвы, а «resp_file_down» — передать файлы жертвы в систему злоумышленника. Компания Elastic предположила, что атака, вероятно, произошла в апреле 2023 года, что свидетельствует о сохраняющейся угрозе и непрерывном развитии инструментов и методов для осуществления вредоносных действий.

Это развитие событий соответствует преобладающей тенденции, наблюдавшейся в 2023 году, когда централизованные криптовалютные биржи и приложения подверглись многочисленным атакам. Среди целей были Alphapo, CoinsPaid, Atomic Wallet, Coinex и Stake, атаки которых включали кражу закрытых ключей с устройств жертв, что позволяло переводить криптовалюту клиентов на адреса злоумышленников. Власти, включая Федеральное бюро расследований США, связали несколько из этих атак с группой Lazarus.

Инцидентыdent, такие как взлом Coinex и атака на Stake, были связаны с этой киберпреступной группировкой. Появление Kandykorn и связанного с ним загрузчика Sugarload в контексте деятельности Lazarus Group представляет собой серьезную проблему безопасности в криптовалют характер этих угроз требует повышенной бдительности и непрерывного совершенствования мер безопасности для противодействия подобным злонамеренным действиям.