Компания Elastic Security Labs обнаружила, что северокорейская хакерская группировка, известная как Lazarus, использовала программу на языке Python, замаскированную под криптовалютного арбитражного бота. Программа распространялась через личные сообщения на публичном сервере Discord. Для атаки хакеры использовали новый вид вредоносного ПО под названием Kandykorn.
Вторжение было впервые замечено при обнаружении попытки загрузки программы в память компьютера Mac. После проведённого расследования было установлено, что атака началась с приложения на языке Python, выдававшего себя за бота для торговли криптовалютой, которое было отправлено в виде личного сообщения на публичном сервере Discord.
«Жертва полагала, что устанавливает арбитражного бота – программное средство, способное извлекать прибыль из разницы курсов криптовалют на разных платформах», – заявили исследователи.
Группа, стоящая за этой атакой, является выходцем из Северной Кореи (КНДР), а также имеет сходство с группировкой, известной как Lazarus. Сходство заключается в используемых методах, сетевой инфраструктуре, сертификатах, используемых для подписи вредоносного ПО, и специальных методах обнаружения деятельности Lazarus Group.
По данным Elastic, атака началась с того, что члены Lazarus выдали себя за блокчейн-инженеров и атаковали инженеров неназванной криптовалютной биржи. Злоумышленники выходили на связь через Discord, утверждая, что разработали прибыльного арбитражного бота, который может зарабатывать на расхождениях между ценами на криптовалюты на разных биржах.
Злоумышленники убедили инженеров скачать этого «бота». Файлы в ZIP-папке программы имели замаскированные имена config.py и pricetable.py, что создавало впечатление, что это арбитражный бот.
После того как инженеры запускали программу, она выполняла файл Main.py, который запускал несколько обычных программ, а также вредоносный файл Watcher.py. Последний устанавливал соединение с удалённым аккаунтом Google Drive и начинал загрузку содержимого из него в другой файл testSpeed.py. Затем вредоносная программа запускала testSpeed.py один раз, после чего удаляла его, чтобы замести следы.
Во время однократного выполнения testSpeed.py загружала всё больше контента и в итоге создавала файл, который в Elastic называют Sugarloader. По словам специалистов, этот файл был зашифрован с помощью «бинарного упаковщика», что позволило ему обойти большинство программ обнаружения вредоносного ПО. Однако его удалось распознать, заставив программу остановиться после вызова функций инициализации, а затем сделав снимок виртуальной памяти процесса.
Специалисты Elastic, проверили Sugarloader на наличие вредоносного ПО с помощью VirusTotal, и детектор показал, что файл не является вредоносным.
После загрузки Sugarloader на компьютер он подключался к удалённому серверу и загружал Kandykorn непосредственно в память устройства. Kandykorn содержит множество функций, которые могут быть использованы удалённым сервером для выполнения различных вредоносных действий. Например, команда 0xD3 может быть использована для вывода списка содержимого каталога на компьютере жертвы, а resp_file_down – для передачи любого файла жертвы на компьютер злоумышленника.
Elastic считает, что атака произошла в апреле 2023 года. В компании утверждают, что программа, вероятно, используется для проведения атак и сегодня:
«Эта угроза по-прежнему активна, и её инструменты и методы постоянно совершенствуются».
В 2023 году централизованные криптовалютные биржи и приложения подверглись целому ряду атак. Жертвами стали Alphapo, CoinsPaid, Atomic Wallet, Coinex, Stake и другие, причём в большинстве случаев злоумышленник похищал приватный ключ с устройства жертвы и использовал его для перевода криптовалюты клиентов на свой адрес.
Федеральное бюро расследований США обвинило Lazarus Group в том, что она стоит за взломом Coinex, а также за атакой на Stake и другие биржи.
Ещё по теме: