✏ Отчет: Lazarus Group использует новое вредоносное ПО «Kandykorn» для атаки на криптобиржу

Отчет: Lazarus Group использует новое вредоносное ПО «Kandykorn» для атаки на криптобиржу

Спонсируемая государством северокорейская хакерская группа Lazarus Group использовала новый тип вредоносного ПО под названием «Kandykorn» для атаки на биржу криптовалют.

31 октября компания Elastic Security Labs сообщила, что пресловутая группа Lazarus использовала новый тип вредоносного ПО (вредоносное ПО) под названием «Kandykorn» в попытке скомпрометировать биржу криптовалют.

Лаборатория Elastic Security Labs обнаружила, что наблюдаемая киберактивность, начавшаяся в апреле 2023 года, демонстрирует сходство с известной Lazarus Group, основываясь на изучении сетевой инфраструктуры и используемых методов.

По данным Elastic, злоумышленники выдавали себя за инженеров блокчейна, нацеливаясь на других инженеров неназванной криптобиржи на общедоступном сервере Discord.

Они утверждали, что разработали прибыльного арбитражного бота, который может использовать разницу в ценах между криптовалютами на различных биржах. Инженеров убедили загрузить этого «бота», который был замаскирован под арбитражный инструмент с такими именами файлов, как «config.py» и «pricetable.py».

Усовершенствованное вредоносное ПО «KANDYKORN», развернутое посредством сложного пятиэтапного процесса, имеет отражающую загрузку

В ходе этого открытия компания Elastic Security Labs представила сложный имплант, известный как KANDYKORN, предназначенный для мониторинга, взаимодействия и умелого уклонения от обнаружения. Развертывание KANDYKORN включает в себя тщательно организованный пятиэтапный процесс, демонстрирующий его огромные возможности.

Цепочка атак начинается с выполнения скрипта Python с именем «watcher.py», хранящегося в файле с именем «Main.py». Watcher.py, один из двух вредоносных файлов, хранящихся в Main.py, устанавливает соединение с удаленной учетной записью Google Диска, инициируя загрузку контента в файл с именем «testSpeed.py». После однократного выполнения «testSpeed.py» он сразу же удаляется, чтобы устранить любые следы.

Во время этого краткого выполнения загружается дополнительный контент. TestSpeed.py действует как дроппер, извлекая другой файл Python с именем «FinderTools» из URL-адреса Google Диска. FinderTools, выступая в качестве еще одного дроппера, загружает и выполняет скрытую полезную нагрузку второго этапа, метко названную SUGARLOADER.

SUGARLOADER использует «двоичный упаковщик», чтобы скрыть себя, что представляет собой проблему для большинства программ обнаружения вредоносных программ. Лабораториям Elastic Security Labs удалось идентифицировать его, остановив функции пост-инициализации программы и тщательно исследовав виртуальную память.

После установки SUGARLOADER устанавливает соединение с удаленным сервером, получая полезную нагрузку последней стадии — KANDYKORN. Эта полезная нагрузка выполняется непосредственно в памяти. Кроме того, SUGARLOADER запускает самозаверяющий двоичный файл на основе Swift под названием HLOADER, маскирующийся под легитимное приложение Discord. Он обеспечивает постоянство с помощью метода, известного как перехват потока выполнения.

KANDYKORN, основная полезная нагрузка, представляет собой грозный троян удаленного доступа (RAT) с множеством возможностей, включая перечисление файлов, выполнение дополнительных вредоносных программ, кражу данных, завершение процесса и выполнение произвольных команд.

KANDYKORN предоставляет удаленному серверу набор функций для потенциальных вредоносных действий, включая просмотр содержимого каталога и беспрепятственную передачу файлов жертвы в систему злоумышленника. Обнаружение этого сложного имплантата подчеркивает развивающуюся картину киберугроз и важность надежных мер безопасности.

В 2023 году криптовалютные биржи подверглись многочисленным взломам приватных ключей, связанных с группой Lazarus, украденной миллионами

В 2023 году криптовалютные биржи подверглись череде взломов закрытых ключей, большинство из которых были связаны с северокорейским киберпреступным предприятием Lazarus Group. Группа Lazarus была связана с несколькими взломами криптовалют, на которые были потрачены миллионы долларов, в первую очередь с инцидентом, в результате которого с платформы спортивных ставок Stake.com было удалено более 40 миллионов долларов.

По данным компании по надзору за блокчейном Elliptic, с июня Lazarus украл в криптовалюте почти 240 миллионов долларов. Инициирование атак с целью кражи криптоактивов из Atomic Wallet (100 миллионов долларов), CoinsPaid (37,3 миллиона долларов), Alphapo (60 миллионов долларов), CoinEx (54 миллиона долларов) и Stake.com (41 миллион долларов).

Однако Федеральное бюро расследований США обвинило Lazarus Group в причастности ко взлому Coinex, а также в проведении атаки Stake и других.

Согласно отчету институционального поставщика криптоплатформы 21.co, кошельки, подключенные к Lazarus Group, содержат около 1600 биткойнов, 10 810 эфиров и 64 490 монет Binance.