Elastic Security Labs 近日公布了一项重要的网络安全进展。Lazarus Group 试图利用一种名为“Kandykorn”的新型恶意软件入侵一家加密货币交易所。该恶意软件还附带一个名为“Sugarload”的加载程序,其独特的“.sld”扩展名使其易于识别。虽然具体的目标交易所尚未公开,但 Lazarus Group 所采用的攻击手法引发了人们的极大担忧。
Elastic Security Labs 公布了 Lazarus Group 的活动
2023年,加密货币交易所的私钥被盗事件激增,其中大部分被归咎于朝鲜网络犯罪组织“拉撒路集团”(Lazarus Group)。该组织在此次攻击中伪装成区块链工程师,通过Discord与一家未具名的加密货币交易所的工程师接触。他们假扮合作者,提供了一种据称可以利用不同交易所间加密货币价格差异进行套利的机器人。.
他们将程序 ZIP 文件夹中的文件伪装成名为“config.py”和“pricetable.py”的文件,使其看起来像一个套利机器人,成功诱骗工程师下载了这个看似有益的“机器人”。程序运行时,会启动一个名为“Main.py”的文件,其中包含一些无害程序和一个恶意组件“Watcher.py”。Watcher.py 会连接到一个远程 Google 云端硬盘帐户,并将内容下载到一个名为“testSpeed.py”的文件中。
testSpeed.py 执行一次后,下载了额外内容并执行了一个名为“Sugarloader”的文件。这个恶意 Sugarloader 文件使用“二进制打包器”进行隐藏,使其能够绕过大多数恶意软件检测系统。Elastic 通过在初始化函数启动后中断程序并对进程的虚拟内存进行快照dent识别它。尽管 VirusTotal 恶意软件检测将其标记为非恶意,但 Sugarloader 在连接到远程服务器后仍设法将 Kandykorn 下载到系统上。.
2023年加密货币领域网络安全挑战日益严峻
Kandykorn 病毒驻留在设备内存中,拥有多种功能,使远程服务器能够执行恶意活动。例如,“0xD3”之类的命令可以列出受害者计算机目录的内容,“resp_file_down”可以将受害者的文件传输到攻击者的系统。Elastic 公司认为此次攻击可能发生在 2023 年 4 月,这表明随着恶意工具和技术的不断发展,威胁依然存在。.
这一发展与2023年观察到的普遍趋势相符,当时中心化加密货币交易所和应用程序遭遇了多次攻击。Alphapo、CoinsPaid、Atomic Wallet、Coinex和Stake等交易所均成为攻击目标,攻击手段包括窃取受害者设备上的私钥,从而将用户的加密货币转移到攻击者的地址。包括美国联邦调查局在内的执法机构已将其中几起攻击与拉扎勒斯集团联系起来。.
Coinex黑客攻击和Stake攻击等事件均与该网络犯罪实体有关。Kandykorn及其关联加载器Sugarload的出现,以及Lazarus集团的活动,对加密货币领域构成了相当大的安全隐患。这些dent要求我们提高警惕,并不断改进安全措施,以应对此类恶意活动。
