ラザロスはエラスティックという記事で、「Kandykorn」というマルウェアを利用して取引所を侵害しようと試みました
『ラザロスがマルウェア「Kandykorn」を使用し、取引所を侵害しようとした記事「エラスティック」』
Lazarus Groupは、新しい形式のマルウェアを使用して暗号通貨取引所を侵害しようとしました。これは、Elastic Security Labsの10月31日の報告によるものです。
Elasticは、新しいマルウェアを「Kandykorn」と名付け、それをメモリにロードするローダープログラムを「Sugarload」と名付けました。ローダーファイルの拡張子には「.sld」があります。Elasticは、対象となった取引所の名前を公表していません。
暗号通貨取引所は、2023年にプライベートキーのハックに見舞われ、ほとんどは北朝鮮のサイバー犯罪集団であるLazarus Groupに追跡されています。
Elasticによると、攻撃はLazarusのメンバーがブロックチェーンエンジニアとして擬装し、名前を公表していない暗号通貨取引所のエンジニアをターゲットにしました。攻撃者はDiscordで連絡を取り、異なる取引所の仮想通貨の価格の相違から利益を得ることができると主張して、利益を上げるアービトラージボットを設計したと言いました。
- 「イーサリアム先物プレミアムが1年ぶりの高値に達しています-ETH価格は続くのでしょうか?」
- ソラナが14か月ぶりの高値を記録FTXが6700万ドルのトークンを売却するため、売り圧力が続いています
- トルコが暗号資産に関する新法案を検討中 報告書
攻撃者はエンジニアにこの「ボット」をダウンロードするように説得しました。プログラムのZIPフォルダ内のファイルは、「config.py」や「pricetable.py」といった偽名であり、アービトラージボットに見えるように紛らわしいものでした。
エンジニアがプログラムを実行すると、それは「Main.py」というファイルを実行しました。このファイルは通常のプログラムと「Watcher.py」という悪意のあるファイルを実行しました。Watcher.pyはリモートのGoogle Driveアカウントに接続し、その内容を別のファイルであるtestSpeed.pyにダウンロードし始めました。その後、悪意のあるプログラムはtestSpeed.pyを一度だけ実行し、トラックを隠すために削除しました。
testSpeed.pyの一度だけの実行中、プログラムはさらにコンテンツをダウンロードし、最終的にElasticが「Sugarloader」と呼ぶファイルを実行しました。このファイルは「バイナリパッカー」を使用して書き換えられており、ほとんどのマルウェア検出プログラムをバイパスすることができました。ただし、Elasticはプログラムを初期化関数の呼び出し後に停止させ、プロセスの仮想メモリをスナップショットすることでそれを発見することができました。
Elasticによると、彼らはSugarloaderにVirusTotalのマルウェア検出を実行し、そのファイルは悪意のあるものではないと判断されたと述べています。
関連記事: Crypto firms beware: Lazarus’ new malware can now bypass detection
Sugarloaderがコンピュータにダウンロードされると、リモートサーバに接続し、Kandykornを直接デバイスのメモリにダウンロードしました。Kandykornには、リモートサーバがさまざまな悪意のある活動を実行するために使用できる多くの機能が含まれています。たとえば、コマンド「0xD3」は、被害者のコンピュータのディレクトリの内容をリストするために使用でき、コマンド「resp_file_down」は、被害者のファイルのいずれかを攻撃者のコンピュータに転送するために使用できます。
Elasticは、この攻撃が2023年4月に発生したと考えています。それはプログラムが今もなお攻撃を実行するために使用されている可能性があると述べています。
「この脅威はまだ活動中であり、ツールと技術は継続的に開発されています。」
2023年には、集中型の暗号通貨取引所やアプリケーションが多くの攻撃にさらされました。Alphapo、CoinsPaid、Atomic Wallet、Coinex、Stakeなどがこれらの攻撃の被害者となりました。ほとんどは、攻撃者が被害者のデバイスからプライベートキーを盗み、お客様の仮想通貨を攻撃者のアドレスに転送することに関与しているようです。
アメリカ連邦捜査局は、Lazarus GroupがCoinexのハックを仕掛けたとして非難し、またStake攻撃なども行ったと主張しています。
