Northkoreansk hackergruppe forsøger at kompromittere kryptobørs med ny malware
Det statssponsorede, nordkoreanske hackergruppe Lazarus Group har brugt en ny type malware kaldet “Kandykorn” til at angribe en kryptobørs. Dette blev afsløret af Elastic Security Labs den 31. oktober.
Elastic Security Labs har konstateret, at den observerede cyberaktivitet, der går tilbage til april 2023, viser ligheder med den velkendte Lazarus Group. Dette er baseret på en undersøgelse af netværksinfrastrukturen og de anvendte metoder.
Angriberne udgav sig for at være blockchain-ingeniører og henvendte sig til andre ingeniører fra den unavngivne kryptobørs på en offentlig Discord-server. De påstod at have udviklet en profitabel arbitrage-bot, der kunne udnytte prisforskelle mellem kryptovalutaer på forskellige børser. Ingeniørerne blev overbevist om at downloade denne “bot”, der var camoufleret som et arbitrage-værktøj med filnavne som “config.py” og “pricetable.py”.
Indholdsfortegnelse
Avanceret malware “KANDYKORN” implementeret gennem kompleks fem-trins proces, har reflektorindlæsning
Under opdagelsen afslørede Elastic Security Labs det sofistikerede implantat kendt som KANDYKORN, der er designet til at overvåge, interagere og undgå opdagelse på en dygtig måde. Implementeringen af KANDYKORN involverer en omhyggeligt orkestreret fem-trins proces, der viser dens formidable kapaciteter.
Angrebskæden begynder med udførelsen af en Python-script ved navn “watcher.py”, der er gemt i en fil mærket “Main.py”. Watcher.py, en af to ondsindede filer gemt i Main.py, opretter forbindelse til en fjern Google Drive-konto og initierer download af indhold til en fil ved navn “testSpeed.py”. Efter en enkelt udførelse af “testSpeed.py” bliver den straks slettet for at fjerne eventuelle spor.
Under denne korte udførelse downloades yderligere indhold. TestSpeed.py fungerer som en dropper og henter en anden Python-fil ved navn “FinderTools” fra en Google Drive-URL. FinderTools fungerer også som en dropper og downloader og udfører en skjult andenstadium nyttelast ved navn SUGARLOADER.
SUGARLOADER bruger en “binary packer” til at skjule sig selv, hvilket gør det svært for de fleste malware-detektionsprogrammer at finde den. Elastic Security Labs formåede dog at identificere det ved at stoppe programmet efter initialiseringsfunktionerne og analysere den virtuelle hukommelse.
Når SUGARLOADER er etableret, opretter den forbindelse med en fjernserver og henter den endelige nyttelast, KANDYKORN. Denne nyttelast bliver udført direkte i hukommelsen. Derudover startes SUGARLOADER en Swift-baseret selvsigneret binær ved navn HLOADER, der skjuler sig som den legitime Discord-applikation. Den bruger en teknik kendt som “execution flow hijacking” for at opnå vedvarende adgang.
KANDYKORN, den ultimative nyttelast, er en formidabel Remote Access Trojan (RAT) med en række funktioner, herunder filopregning, udførelse af yderligere malware, dataeksfiltrering, procesafslutning og udførelse af vilkårlige kommandoer.
KANDYKORN giver fjernserveren en række funktioner til potentielt onde aktiviteter, herunder at liste indholdet af biblioteker og ubesværet overføre ofrenes filer til angriberens system. Opdagelsen af dette sofistikerede implantat understreger det stadigt udviklende landskab af cybertrusler og vigtigheden af robuste sikkerhedsforanstaltninger.
Krypto-børser udsat for flere private nøgler-hacks i 2023, forbundet med Lazarus Group, hvor millioner blev stjålet
Krypto-børser har været udsat for en række hacks af private nøgler i 2023, hvoraf de fleste kan tilskrives den nordkoreanske kriminelle organisation Lazarus Group. Lazarus Group har stjålet næsten $240 millioner i kryptovalutaer siden juni. De har angrebet Atomic Wallet ($100 mio), CoinsPaid ($37,3 mio), Alphapo ($60 mio), CoinEx ($54 mio) og Stake.com ($41 mio).
Den amerikanske forbundsundersøgelse har anklaget Lazarus Group for at stå bag hackningen af CoinEx samt angrebet mod Stake og andre platforme.
Ifølge en rapport fra det institutionelle kryptoplatform-selskab 21.co indeholder wallet-ejerskaberne forbundet med Lazarus Group omkring 1.600 Bitcoin, 10.810 Ether og 64.490 Binance Coins.
