Lazarus使用Kandykorn恶意软件试图破坏去中心化交易所

根据 Elastic Security Labs 10 月 31 日的一份报告，Lazarus Group 使用一种新型恶意软件试图破坏加密货币交易所。

Elastic 将新恶意软件命名为Kandykorn，并将其加载到内存中的加载程序命名为Sugarload，因为加载程序文件的名称中有一个新颖的.sld扩展名。Elastic 没有透露目标交易所的名称。

2023 年，加密货币交易所遭遇了大量私钥黑客攻击，其中大部分可追溯到朝鲜网络犯罪企业 Lazarus Group。

据 Elastic 称，攻击始于 Lazarus 成员冒充区块链工程师，并针对来自未具名加密货币交易所的工程师。攻击者在 Discord 上联系，声称他们设计了一个有利可图的套利机器人，可以从不同交易所的加密货币价格差异中获利。

攻击者说服工程师下载这个机器人。该程序的 ZIP 文件夹中的文件具有伪装名称，例如config.py和pricetable.py，这使其看起来像是一个套利机器人。

一旦工程师运行该程序，它就会执行一个“Main.py”文件，该文件运行一些普通程序以及一个名为Watcher.py的恶意文件。Watcher.py 建立了与远程 Google Drive 帐户的连接，并开始将内容从该帐户下载到另一个名为 testSpeed.py 的文件中。然后，恶意程序运行一次 testSpeed.py，然后将其删除以掩盖其踪迹。

在 testSpeed.py 的单次执行过程中，程序下载了更多内容并最终执行了Elastic 称为Sugarloader的文件。Elastic 表示，该文件是使用“二进制打包程序”进行混淆的，使其能够绕过大多数恶意软件检测程序。然而，他们通过在调用初始化函数后强制程序停止，然后对进程的虚拟内存进行快照来发现它。

据 Elastic 称，它在 Sugarloader 上运行了 VirusTotal 恶意软件检测，检测器声明该文件不是恶意的。

Sugarloader 下载到计算机后，它会连接到远程服务器并将 Kandykorn 直接下载到设备的内存中。Kandykorn 包含许多可被远程服务器用来执行各种恶意活动的功能。例如，命令0xD3可用于列出受害者计算机上的目录内容，而resp_file_down可用于将受害者的任何文件传输到攻击者的计算机。

Elastic 认为该攻击发生在 2023 年 4 月。它声称该程序今天可能仍在用于执行攻击，并指出：

“这种威胁仍然活跃，工具和技术正在不断开发。

中心化加密货币交易所和应用程序在 2023 年遭受了一连串的攻击。Alphapo、CoinsPaid、Atomic Wallet、Coinex、Stake 等都是这些攻击的受害者，其中大多数攻击似乎涉及攻击者从受害者设备窃取私钥，用它将客户的加密货币转移到攻击者的地址。 

美国联邦调查局指控 Lazarus 集团是Coinex 黑客攻击以及Stake 攻击等的幕后黑手。