Lazarus Group использовала новую форму вредоносного ПО в попытке скомпрометировать криптовалютную биржу, согласно отчету от 31 октября от Elastic Security Labs.
Elastic назвала новое вредоносное ПО “KANDYKORN”, а программу-загрузчик, которая загружает его в память, “SUGARLOAD”, так как файл загрузчика имеет новое расширение “.sld” в своем имени. Elastic не назвала биржу, которая была целью.
Криптовалютные биржи страдают от взломов закрытых ключей в 2023 году, большинство из которых были прослежены до киберпреступной группировки из Северной Кореи, Lazarus Group.
Согласно Elastic, атака началась, когда члены Lazarus выдали себя за блокчейн-инженеров и нацелились на инженеров неизвестной криптовалютной биржи. Атакующие связались на Discord, заявив, что они разработали прибыльного арбитражного бота, который может извлекать прибыль из различий в ценах на криптовалюты на разных биржах.
Атакующие убедили инженеров скачать этот “бот”. Файлы в ZIP-папке программы имели замаскированные имена, такие как “config.py” и “pricetable.py”, что делало его похожим на арбитражного бота.
После запуска программы инженерами, она выполняла файл “Main.py”, который запускал некоторые обычные программы, а также вредоносный файл с именем “Watcher.py”. Watcher.py устанавливал соединение с удаленной учетной записью Google Drive и начинал загружать содержимое из нее в другой файл с именем testSpeed.py. Затем вредоносная программа запускала testSpeed.py один раз перед его удалением, чтобы замести свои следы.
Во время однократного выполнения testSpeed.py программа загружала больше содержимого и в конечном итоге выполняла файл, который Elastic называет “SUGARLOADER”. Этот файл был замаскирован с использованием “бинарного упаковщика”, по словам Elastic, что позволило ему обойти большинство программ обнаружения вредоносного ПО. Однако они смогли обнаружить его, заставив программу остановиться после вызова функций инициализации, а затем сделав снимок виртуальной памяти процесса.
Согласно Elastic, они запустили обнаружение вредоносного ПО VirusTotal на SUGARLOADER, и детектор заявил, что файл не является вредоносным.
После того, как SUGARLOADER был загружен на компьютер, он подключался к удаленному серверу и загружал KANDYKORN непосредственно в память устройства. KANDYKORN содержит множество функций, которые могут быть использованы удаленным сервером для выполнения различных вредоносных действий. Например, команда “0xD3” может использоваться для перечисления содержимого каталога на компьютере жертвы, а “resp_file_down” может использоваться для передачи любых файлов жертвы на компьютер атакующего.
Elastic считает, что атака произошла в апреле 2023 года. Они утверждают, что программа, вероятно, до сих пор используется для проведения атак, говоря:
“Эта угроза все еще активна, и инструменты и техники постоянно развиваются”.
Централизованные криптовалютные биржи и приложения страдали от атак в 2023 году. Alphapo, CoinsPaid, Atomic Wallet, Coinex, Stake и другие стали жертвами этих атак, большинство из которых, похоже, связаны с кражей закрытого ключа с устройства жертвы и его использованием для перевода криптовалюты клиентов на адрес атакующего.
Федеральное бюро расследований США (FBI) обвинило группировку Lazarus в совершении взлома Coinex, а также в проведении атаки на Stake и других.