Lazarus Group використовувала Kandykorn для атаки на криптовалютну біржу

Північнокорейська кіберзлочинна група Lazarus Group використовувала нову форму шкідливого програмного забезпечення, щоб скомпрометувати криптовалютну біржу. Атака почалася з того, що зловмисники видавали себе за блокчейн-інженерів і переконали інженерів біржі завантажити шкідливе програмне забезпечення.

Elastic назвала нове шкідливе програмне забезпечення «Kandykorn», а програму-завантажувач, яка завантажує його в пам’ять, «Sugarload», оскільки файл-завантажувач має нове розширення «.sld» у своєму імені. Elastic не назвав біржу, яка стала мішенню атаки.

Шкідливе програмне забезпечення було замасковано як арбітражний бот, який може заробляти на розбіжностях між цінами криптовалют на різних біржах. Коли інженери запустили програму, вона завантажила шкідливий файл, який підключився до віддаленого сервера і завантажив Kandykorn безпосередньо в пам’ять пристрою.

Kandykorn містить безліч функцій, які можуть бути використані для виконання різних шкідливих дій, таких як отримання списку вмісту каталогу на комп’ютері жертви або передача будь-якого файлу жертви на комп’ютер зловмисника.

Elastic Security Labs вважає, що атака сталася у квітні 2023 року. Вона стверджує, що програма, ймовірно, все ще використовується для здійснення атак і сьогодні.

Ця атака є частиною більш широкої тенденції, коли криптовалютні біржі стають мішенню кіберзлочинних груп. У 2023 році низка криптовалютних бірж зазнала атак, у результаті яких були викрадені мільйони доларів у криптовалюті.

Федеральне бюро розслідувань США звинуватило Lazarus Group у причетності до злому Coinex, а також до атаки Stake та інших.