Категории: Разное

Lazarus використовував зловмисне програмне забезпечення «KANDYKORN», щоб скомпрометувати обмін — Elastic

Відповідно до звіту Elastic Security Labs від 31 жовтня, Lazarus Group використовувала нову форму шкідливого програмного забезпечення, щоб спробувати скомпрометувати біржу криптовалют.

Elastic назвав нову шкідливу програму «KANDYKORN», а програму-завантажувач, яка завантажує її в пам’ять, «SUGARLOAD», оскільки в назві файлу-завантажувача є нове розширення «.sld». Elastic не назвала біржу, яка була націлена.

У 2023 році криптовалютні біржі постраждали від низки хакерів із закритими ключами, більшість з яких були пов’язані з північнокорейською кіберзлочинною компанією Lazarus Group.

Інфекційний процес KANDYKORN. Джерело: Elastic Security Labs.

За словами Elastic, атака почалася, коли учасники Lazarus видавали себе за інженерів блокчейну та націлилися на інженерів з неназваної біржі криптовалют. Зловмисники зв’язалися з Discord, стверджуючи, що вони створили прибуткового арбітражного бота, який міг би отримувати прибуток від розбіжностей між цінами криптовалют на різних біржах.

Зловмисники переконали інженерів завантажити цього «бота». Файли в папці ZIP програми мали приховані назви, як-от «config.py» і «pricetable.py», через що програма виглядала як арбітражний бот.

Коли інженери запустили програму, вона виконала файл «Main.py», який запускав деякі звичайні програми, а також шкідливий файл під назвою «Watcher.py». Watcher.py встановив з’єднання з віддаленим обліковим записом Google Drive і почав завантажувати вміст з нього в інший файл під назвою testSpeed.py. Потім шкідлива програма один раз запустила testSpeed.py, перш ніж видалити його, щоб замести сліди.

Під час одноразового виконання testSpeed.py програма завантажила більше вмісту та зрештою виконала файл, який Elastic називає «SUGARLOADER». Цей файл було обфусковано за допомогою «двійкового пакувальника», заявив Elastic, що дозволило йому обійти більшість програм виявлення шкідливих програм. Однак вони змогли виявити це, примусово зупинивши програму після виклику її функцій ініціалізації, а потім зробивши знімок віртуальної пам’яті процесу.

За словами Elastic, вони запустили програму виявлення шкідливого програмного забезпечення VirusTotal на SUGARLOADER, і детектор заявив, що файл не є шкідливим.

За темою: криптовалютні фірми, будьте обережні: нове шкідливе програмне забезпечення Lazarus тепер може обходити виявлення

Після того, як SUGARLOADER було завантажено на комп’ютер, він підключився до віддаленого сервера та завантажив KANDYKORN безпосередньо в пам’ять пристрою. KANDYKORN містить численні функції, які можуть використовуватися віддаленим сервером для виконання різноманітних шкідливих дій. Наприклад, команду «0xD3» можна використати для перерахування вмісту каталогу на комп’ютері жертви, а «resp_file_down» можна використати для передачі будь-яких файлів жертви на комп’ютер зловмисника.

Elastic вважає, що атака сталася в квітні 2023 року. Вона стверджує, що програма, ймовірно, все ще використовується для здійснення атак сьогодні, заявляючи:

«Ця загроза все ще активна, і інструменти та методи постійно вдосконалюються».

У 2023 році централізовані криптовалютні біржі та програми зазнали низки атак. Alphapo, CoinsPaid, Atomic Wallet, Coinex, Stake та інші були жертвами цих атак, більшість із яких, схоже, стосувалися зловмисників, які викрадали закритий ключ із пристрою жертви тавикористовувати його для переказу криптовалюти клієнтів на адресу зловмисника.

Федеральне бюро розслідувань США (ФБР) звинуватило Lazarus Group у причетності до злому Coinex, а також у здійсненні атаки на Stake та інших.

Alexander Zhdanov

Недавние статьи

Ethereum: Аналітики бачать «дуже позитивний» 2025 рік, чи закінчилася кровотеча?

Ethereum (ETH) почав підніматися на деякі рівні після того, як минулого тижня впав до зони…

4 години ago

MicroStrategy скликає збори акціонерів, щоб фінансувати додаткові покупки біткойнів

Компанія MicroStrategy, яка займається програмним забезпеченням, скликає спеціальні збори акціонерів, щоб розширити свій план випуску…

7 години ago

Ціна біткойна може знову відновитися до 107 000 доларів, якщо цей важливий рівень буде пробито

Протягом останніх кількох тижнів ціна біткойна мала низхідну тенденцію, зазнаючи значних падінь, які підштовхнули її…

7 години ago

XRP Whales продовжують купувати – дані показують, що Smart Money готується до ралі

Останніми днями XRP був прив’язаний до діапазону, консолідуючись після успішного утримання вище критичного рівня підтримки…

9 години ago

Незважаючи на різке зростання біткойнів, акціям майнінгу важко досягти зростання в 2024 році

Станом на 24 грудня 2024 року біткойн (BTC) оприлюднив 113% прибутку, але більшість акцій майнерів…

10 години ago

Чи може Dogecoin досягти 4 доларів? Експерт встановлює прогноз для часу прориву

Як аналітики, так і інвестори розглядають Dogecoin, особливо в світлі останніх прогнозів, які вказують на…

11 години ago