Категории: Новости

Lazarus использовал вредоносное ПО «KANDYKORN» в попытке взломать биржу — Elastic

Согласно отчету Elastic Security Labs от 31 октября, Lazarus Group использовала новую форму вредоносного ПО в попытке взломать биржу криптовалют.

Компания Elastic назвала новое вредоносное ПО «KANDYKORN», а программу-загрузчик, загружающую его в память, — «SUGARLOAD», поскольку в названии файла-загрузчика имеется новое расширение «.sld». Elastic не назвала биржу, на которую была нацелена атака.

В 2023 году криптовалютные биржи подверглись череде взломов закрытых ключей, большинство из которых были связаны с северокорейским киберпреступным предприятием Lazarus Group.

КАНДЫКОРН инфекционный процесс. Источник: Лаборатории Elastic Security.

По данным Elastic, атака началась, когда участники Lazarus выдавали себя за инженеров блокчейна и нацелились на инженеров неназванной криптовалютной биржи. Злоумышленники связались с Discord, заявив, что они разработали прибыльного арбитражного бота, который может получать прибыль от расхождений между ценами криптовалют на разных биржах.

Злоумышленники убедили инженеров загрузить этого «бота». Файлы в ZIP-папке программы имели замаскированные имена, такие как «config.py» и «pricetable.py», что делало программу похожей на арбитражного бота.

После того, как инженеры запустили программу, она выполнила файл «Main.py», который запускал некоторые обычные программы, а также вредоносный файл под названием «Watcher.py». Watcher.py установил соединение с удаленной учетной записью Google Диска и начал загружать контент из нее в другой файл с именем testSpeed.py. Затем вредоносная программа один раз запустила testSpeed.py, а затем удалила его, чтобы замести следы.

Во время однократного выполнения testSpeed.py программа загрузила больше контента и в конечном итоге выполнила файл, который Elastic называет «SUGARLOADER». По словам Elastic, этот файл был замаскирован с помощью «двоичного упаковщика», что позволило ему обойти большинство программ обнаружения вредоносных программ. Однако им удалось обнаружить это, заставив программу остановиться после вызова ее функций инициализации, а затем сделав снимок виртуальной памяти процесса.

По данным Elastic, они запустили обнаружение вредоносного ПО VirusTotal на SUGARLOADER, и детектор заявил, что файл не является вредоносным.

По теме: криптовалютные компании, будьте осторожны: новое вредоносное ПО Lazarus теперь может обходить обнаружение

Как только SUGARLOADER был загружен на компьютер, он подключился к удаленному серверу и загрузил KANDYKORN прямо в память устройства. KANDYKORN содержит множество функций, которые удаленный сервер может использовать для выполнения различных вредоносных действий. Например, команду «0xD3» можно использовать для вывода списка содержимого каталога на компьютере жертвы, а команду «resp_file_down» можно использовать для передачи любого файла жертвы на компьютер злоумышленника.

Elastic полагает, что атака произошла в апреле 2023 года. Он утверждает, что программа, вероятно, все еще используется для проведения атак сегодня, заявляя:

«Эта угроза все еще активна, а инструменты и методы постоянно развиваются».

В 2023 году централизованные криптовалютные биржи и приложения подверглись череде атак. Alphapo, CoinsPaid, Atomic Wallet, Coinex, Stake и другие стали жертвами этих атак, большинство из которых, похоже, заключались в краже злоумышленником закрытого ключа с устройства жертвы ииспользуя его для перевода криптовалюты клиентов на адрес злоумышленника.

Федеральное бюро расследований США (ФБР) обвинило Lazarus Group в причастности ко взлому Coinex, а также в проведении атаки Stake и других.

Alexander Zhdanov

Автор и инвестор в криптовалюты, являюсь экспертом в этой области. Не только пишу статьи о криптовалютах и блокчейн технологиях, но и являюсь активным участником криптосообщества, занимающимся инвестированием в различные криптовалюты. Использую знания и опыт в написании статей, чтобы помочь читателям понять сложные аспекты криптоиндустрии и принимать обоснованные решения относительно инвестирования в криптовалюты. Делюсь личными опытами и инсайтами, полученными в ходе инвестиций, чтобы помочь другим инвесторам делать обоснованные выборы.

Недавние статьи

В 2024 году количество взломов DeFi сократилось на 40%, а взломы CeFi выросли до 694 миллионов долларов: Hacken

В 2024 году безопасность децентрализованных финансов (DeFi) понесла на 40% меньше финансовых потерь, чем в…

4 часа ago

Сезон альткойнов уже здесь? Ответы VanEck, когда цена Биткоин падает ниже $100 000

Недавнее ценовое движение Биткоин было отмечено коррекцией с исторического максимума в 108 135 долларов, достигнутого…

5 часов ago

37% розничных инвесторов ОАЭ планируют увеличить количество криптовалют в 2025 году: опрос eToro

Опрос, проведенный торговой платформой eToro, показал, что многие розничные инвесторы из Объединенных Арабских Эмиратов планируют…

6 часов ago

Взломы криптовалют уничтожат 2,3 миллиарда долларов в 2024 году, что означает рост на 40% в годовом исчислении.

Криптовалютные хакеры превзошли достижения прошлого года, похитив из экосистемы Web3 более 2,3 миллиарда долларов —…

7 часов ago

Рост криптовалют и искусственного интеллекта может вызвать нагрузку на энергосети Северной Америки: NERC

Майнинг криптовалюты и операции искусственного интеллекта поднимают спрос на электроэнергию до новых максимумов по всей…

8 часов ago

Россия запретила майнинг криптовалют на 6 лет в 10 регионах

Правительство России утвердило список регионов и территорий, где майнинг криптовалют будет запрещен со следующего года.Майнинг…

9 часов ago