Wykorzystywanie złośliwego oprogramowania KANDYKORN przez północnokoreańskich hakerów, których celem są inżynierowie zajmujący się wymianą zasobów cyfrowych

Jak wynika z nowego raportu, hakerzy sprzymierzeni z Grupą Lazarus za cel postawili sobie w kwietniu wymianę zasobów cyfrowych, wykorzystując nowe szkodliwe oprogramowanie o nazwie „KANDYKORN”.

Holenderska firma Elastic Security Labs ujawniła, że napastnicy zwabili inżynierów anonimowej giełdy zasobów cyfrowych za pośrednictwem publicznego kanału Discord. Wprowadziły ofiary w przekonanie, że pobierają bota arbitrażowego.

Jednak po rozpakowaniu archiwum ZIP ujawniło skrypt „Main.py” i towarzyszący mu folder zawierający kilkanaście innych złośliwych skryptów w języku Python.

Łańcuch szybko się rozpadł, inicjując adres URL Dysku Google, z którego pobierał złośliwą zawartość. Jak ujawnił Elastic, pięcioetapowa infiltracja zakończyła się instalacją KANDYKORN, szkodliwego oprogramowania zapewniającego atakującym zaawansowane możliwości dostępu do danych.

„KANDYKORN to zaawansowany implant posiadający różnorodne możliwości monitorowania, interakcji i unikania wykrycia. Wykorzystuje ładowanie refleksyjne, czyli metodę wykonywania z pamięcią bezpośrednią, która może ominąć wykrywanie” – podsumowuje raport.

Elastic nie ujawnił tożsamości giełdy, na którą atakowali hakerzy, ale ujawnił, że atak miał miejsce w kwietniu. W tym miesiącu największy atak na giełdę aktywów cyfrowych miał miejsce na Bitrue, singapurski podmiot, który w wyniku ataku stracił 23 miliony dolarów. Bitrue nie ujawniło dalszych szczegółów ataku, ale stwierdziło, że hakerzy ukradli mniej niż 5% wszystkich aktywów i że zhakowane zostały tylko jego gorące portfele.

Południowokoreańska giełda GDAC również doznała naruszenia, tracąc 13 milionów dolarów. Hakerzy wyprali później wpływy za pośrednictwem Tornado Cash, miksera opartego na Ethereum, którego założyciele zostali aresztowani i oskarżeni o spisek mający na celu pranie pieniędzy i unikanie sankcji.

„KRLD, za pośrednictwem jednostek takich jak LAZARUS GROUP, w dalszym ciągu atakuje przedsiębiorstwa z branży kryptowalut w celu kradzieży kryptowalut w celu obejścia międzynarodowych sankcji, które utrudniają rozwój ich gospodarki i ambicji” – dodał Elastic.

Korea Północna od dawna polega na mikserach, aby wypłacić swoje nieuczciwie zdobyte dochody. Jednak ostatnio według doniesień hakerzy zwrócili się w stronę rosyjskich giełd, w miarę zacieśniania się więzi między obydwoma narodami.

Według Chainalytic nastąpiła „znaczna eskalacja partnerstwa między cyberpodziemiami tych dwóch narodów”. A ponieważ Rosja znana jest z notorycznej niechęci do współpracy z międzynarodowymi organami ścigania, koreańscy hakerzy mogą mieć dodatkową warstwę do ukrycia.

Obejrzyj: BSV dostarcza rozwiązania w zakresie cyberbezpieczeństwa i oszustw

Autor : BitcoinSV.pl

Źródło : KANDYKORN malware use by North Korean hackers targeting digital asset exchange engineers – CoinGeek

Author: BitcoinSV.pl
CEO