Lazarus使用了“ Kandykorn”恶意软件来妥协交换 – 弹性
汤姆·黑斯通(Tom Blackstone)3分钟前,拉撒路(Lazarus
汤姆·黑石(Tom Blackstone)3分钟前拉撒路使用“坎迪科恩”恶意软件来妥协交换 – 弹性
拉撒路成员担任工程师,并愚弄了交换员工下载难以检测的恶意软件。
6总看法收听第0:00新闻加入我们的社交网络
根据Elastic Security Labs的10月31日报告,Lazarus Group使用了一种新形式的恶意软件来妥协加密交易所。
Elastic命名了新的恶意软件“ Kandykorn”和将其加载到内存“ Sugarload”中的加载程序程序,因为加载程序文件以其名称具有新颖的“ .sld”扩展名。弹性没有命名目标的交换。
加密交易所在2023年遭受了大量私钥骇客,其中大多数被追溯到朝鲜网络犯罪企业Lazarus Group。
坎迪科恩感染过程。资料来源:弹性安全实验室。
根据弹性的说法,袭击始于拉撒路成员担任区块链工程师和无名加密交易所的有针对性工程师。攻击者在不和谐方面取得了联系,声称他们设计了一个有利可图的套利机器人,可以从不同交易所的加密货币价格之间的差异中获利。
攻击者说服工程师下载此“机器人”。程序的邮政编码文件夹中的文件具有伪装的名称,例如“ config.py”和“ pricetable.py”,使其似乎是套利机器人。
工程师运行了程序后,它执行了一个“ main.py”文件,该文件运行了一些普通程序以及称为“ watcher.py”的恶意文件。watcher.py建立了与远程Google Drive帐户的连接,并开始将内容从其下载到名为TestSpeed.py的另一个文件。然后,恶意程序一次运行了testspeed.py,然后删除它以覆盖其轨道。在testspeed.py的一次性执行中,该程序下载了更多内容,并最终执行了弹性称为“ Sugarloader”的文件。弹性说,该文件使用“二进制包装器”混淆,允许它绕过大多数恶意软件检测程序。但是,他们能够通过强迫程序在调用初始化功能后停止来发现它,然后捕捉该过程的虚拟内存。
根据Elastic的说法,他们在糖加载器上运行了Virustotal恶意软件检测,检测器宣布该文件不是恶意的。
相关:加密公司当心:Lazarus的新恶意软件现在可以绕过检测
将Sugarloader下载到计算机中后,它将连接到远程服务器并将Kandykorn直接下载到设备的内存中。Kandykorn包含许多功能,远程服务器可以使用这些功能来执行各种恶意活动。例如,命令“ 0xd3”可用于列出受害者计算机目录的内容,并且“ desp_file_down”可用于将受害者的任何文件传输到攻击者的计算机上。
弹性认为这次袭击发生在2023年4月。它声称该计划可能仍被用于执行攻击,并指出:
“这种威胁仍然是活跃的,工具和技术正在不断开发。”集中的加密交易所和应用程序在2023年遭受了大量攻击。Alphapo,Coinspaid,Atomic Wallet,Coinex,Coinex,Stake,Stake等是这些攻击的受害者,大多数是这些攻击的受害者其中似乎涉及攻击者从受害者的设备上窃取私钥,并使用它将客户的加密货币转移到攻击者的地址。
美国联邦调查局(FBI)指责拉撒路集团在Coinex Hack背后,并进行股份攻击等。
原创文章,作者:生活点,如若转载,请注明出处:https://www.53moban.com/12452.html
