Najpopularniejsza grupa hakerów rozgryziona! W ten sposób atakowali giełdy kryptowalut

Przedsiębiorstwo zajmujące się cyberbezpieczeństwem - Elastic - ujawniło mechanizm wykorzystywany przez znaną grupę hakerów występujących pod nazwą Lazarus do przeprowadzania włamań na giełdy wirtualnych walut.
W najnowszym poście opublikowanym w środę (tj. 1 listopada br.) na swoim oficjalnym blogu wspomniana firma ogłosiła, że zidentyfikowała nowy rodzaj złośliwego oprogramowania wykorzystywanego przez północnokoreańską grupę cyberprzestępczą.

Oto jak Lazarus atakował giełdy kryptowalut

Znana grupa hakerów wzięła sobie za cel inżynierów blockchain. Wabiła ona potencjalne ofiary aplikacją Pythona, aby uzyskać dostęp do ich środowisk. Eksperci ds. bezpieczeństwa cybernetycznego zaobserwowali włamanie do systemu macOS, podczas prób załadowania plików binarnych do pamięci. Lazarus rozprzestrzeniał swoje działania m.in. na Discordzie - podszywał się pod inżynierów blockchain, przekonując ofiary do pobrania pliku ZIP zawierającego złośliwy kod. Osoby, które dały się podejść, wierzyły, że pobierają bota do arbitrażu kryptograficznego. Gdy program zaczął działać na urządzeniach ofiary, złośliwy plik "Watcher.py" łączył się z kontem Dysku Google i zaczynał pobierać zawartość do innego pliku. Jednorazowy plik wykonawczy był automatycznie usuwany, aby zatrzeć ślady. W kolejnym etapie proces infiltracji obejmował stworzenie programu, któremu Elastic nadał nazwę "Sugarloader". Ten zaś miał możliwość ukrywania się przed programami wykrywającymi złośliwe oprogramowanie w pakerze binarnym. Po tym, jak Sugarloader przechodził do działania, inny program o nazwie HLOADER podszywał się pod legalną aplikację Discord. Ostatni etap, nazwany "Kandykorn", infiltrował komputery ofiar za pomocą pełnego zestawu możliwości monitorowania, interakcji z programami i unikania wykrycia. Specjaliści z Elastic powiązali techniki i złośliwe oprogramowanie użyte do przeprowadzenia omawianego ataku z grupą Lazarus, skupiając się na analizie ich poprzednich włamań.

Kolejny atak na branżę wirtualnych walut

Grupa hakerów z Korei Północnej od dłuższego czasu prowadzi “zorganizowaną kampanię skierowaną do wszystkich znanych organizacji w przestrzeni kryptograficznej”. Branża ta wydaje się dla niej wysoce lukratywna. Lazarus znany jest z masowych kradzieży kryptowalut i innych aktywów cyfrowych. Dla przykładu w 2022 r. poprzez swoją kampanię phishingową udało im się skraść co najmniej 1055 NFT. W obecnym roku amerykańskie Federalne Biuro Śledcze (FBI) wskazało na 6 adresów kryptograficznych powiązanych ze wspomnianymi hakerami. Agencja ta twierdziła wówczas, że ci mogą chcieć sprzedać skradzione bitcoiny (BTC). Ich wartość opiewała wówczas na 40 milionów dolarów.

Komentarze

Ranking giełd