報告書:ラザラスグループが仮想通貨取引所攻撃で新しい「Kandykorn」マルウェアを使用しました

「報告書:ラザラスグループの仮想通貨取引所攻撃に新たな「Kandykorn」マルウェアが使用されました」

出典: AdobeStock / Sergey Nivens

北朝鮮の国家スポンサーであるハッカーグループLazarus Groupが、新種のマルウェア「Kandykorn」を使用して暗号通貨取引所を標的にしました。

10月31日、Elastic Security Labsは、悪名高いLazarus Groupが新種の悪意のあるソフトウェア(マルウェア)である「Kandykorn」を使用して、暗号通貨取引所を狙った試みを行ったことを報告しました。

Elastic Security Labsによると、2023年4月からの観察されたサイバー活動は、ネットワークインフラストラクチャと使用された手法の調査に基づき、よく知られているLazarus Groupとの類似点を示しています。

Elasticによれば、攻撃者はブロックチェーンエンジニアとして振る舞い、未公開の仮想通貨取引所の他のエンジニアを公開のDiscordサーバーで標的にしました。

彼らはさまざまな取引所間の暗号通貨の価格差を利用できる利益を生むアービトラージボットを設計したと主張しました。エンジニアたちはこの「ボット」をダウンロードするように説得されましたが、実際には「config.py」や「pricetable.py」といったファイル名で偽装されたアービトラージツールでした。

高度なマルウェア「KANDYKORN」は複雑な5段階のプロセスを経て展開され、反射的な読み込みを特徴としています

発見によれば、Elastic Security Labsは、監視、相互作用、検出を巧みに回避するために設計された、高度なインプラント「KANDYKORN」を明らかにしました。KANDYKORNの展開は、その強力な機能を示す、緻密に計画された5段階のプロセスを含んでいます。

攻撃チェーンは、”Main.py”というファイル内に保存されたPythonスクリプト「watcher.py」の実行から開始されます。Main.pyに格納された2つの悪意のあるファイルのうちの1つであるWatcher.pyは、リモートのGoogle Driveアカウントとの接続を確立し、「testSpeed.py」という名前のファイルにコンテンツをダウンロードします。一度だけ「testSpeed.py」を実行した後、痕跡を消すためにすぐに削除されます。

この短時間の実行中、追加のコンテンツがダウンロードされます。TestSpeed.pyはドロッパーとして機能し、Google DriveのURLから「FinderTools」という別のPythonファイルを取得して実行します。さらにドロッパーとして機能するFinderToolsは、秘匿された2段階目のペイロードであるSUGARLOADERをダウンロードして実行します。

SUGARLOADERは「バイナリパッカー」を使用して自身を隠し、ほとんどのマルウェア検出プログラムにとって困難な課題となります。Elastic Security Labsは、プログラムの初期化後の機能を停止させ、仮想メモリを精査することでそれを特定しました。

確立されると、SUGARLOADERはリモートサーバーとの接続を確立し、最終段階のペイロードであるKANDYKORNを取得します。このペイロードは直接メモリ内で実行されます。さらに、SUGARLOADERは、合法的なDiscordアプリケーションを偽装した、Swiftベースの自己署名バイナリ「HLOADER」を起動します。実行フロー乗っ取りという技術を使用して持続性を確保します。

究極のペイロードであるKANDYKORNは、ファイルの列挙、追加のマルウェアの実行、データの外部転送、プロセスの終了、および任意のコマンドの実行といった、さまざまな機能を持つ強力なリモートアクセストロイアン(RAT)です。

KANDYKORNは、被害者のファイルを攻撃者のシステムにシームレスに転送したり、ディレクトリの内容リストを作成したりするための機能をリモートサーバーに与えます。この高度なインプラントの発見は、サイバー脅威の進化する風景と、堅牢なセキュリティ対策の重要性を強調しています。

2023年、暗号通貨取引所が複数の秘密鍵ハックに苦しむ、数百万ドルの被害がLazarus Groupに関連付けられる

2023年、暗号通貨取引所が北朝鮮の犯罪組織であるLazarus Groupに関連付けられる多数の秘密鍵ハックに苦しんでおり、その被害額は数百万ドルに上っています。Lazarus Groupは、スポーツベットプラットフォームStake.comで約4,000万ドルが消失した事件を含む、数百万ドルに及ぶいくつかの暗号通貨ハックに関連付けられています

ブロックチェーン監視企業であるエリプティックによると、Lazarusは6月以来、仮想通貨で約2億4000万ドルを盗み出してきました。アトミックウォレット(1億ドル)、CoinsPaid(3730万ドル)、Alphapo(6億ドル)、CoinEx(5,400万ドル)、Stake.com(4100万ドル)などから暗号資産を盗むための攻撃を行っています。

しかし、アメリカ連邦捜査局は、LazarusグループがCoinexハッキングの背後にいると非難しています。また、他のStake攻撃なども行っているとされています。

機関向け仮想通貨プラットフォームプロバイダである21.coのレポートによると、Lazarusグループに接続されたウォレットには約1,600ビットコイン、10,810イーサリアム、64,490バイナンスコインが保持されているとのことです。