Lazarus Group 在交易所部署“Kandykorn”恶意软件

　　Elastic Security Labs 最近公布了一项重大的网络安全开发成果。 Lazarus 集团试图使用一种名为“Kandykorn”的新型恶意软件来破坏加密货币交易所。 伴随该恶意软件的是加载程序“Sugarload”，通过其独特的“.sld”扩展名进行识别。 虽然具体的交易所目标并未披露，但 Lazarus 集团采用的方法引起了重大担忧。

　　Elastic Security Labs 公布 Lazarus Group 的活动

　　2023 年，加密货币交易所内的私钥黑客攻击激增，主要归因于朝鲜网络犯罪组织 Lazarus Group。 Lazarus 集团在这次攻击中的作案手法包括伪装成区块链工程师，通过 Discord 与与未命名的加密货币交易所相关的工程师进行接触。 他们冒充合作者，提供了一个套利机器人，据称该机器人可以利用各个交易所之间的加密货币价格差异。

　　通过将程序 ZIP 文件夹中的文件伪装为“config.py”和“pricetable.py”（类似于套利机器人），他们成功说服工程师下载了看似有益的“机器人”。 执行后，该程序启动了一个“Main.py”文件，其中包括无害程序和恶意组件“Watcher.py”。 Watcher.py 与远程 Google Drive 帐户建立连接，将内容下载到名为“testSpeed.py”的文件中。

　　一次性执行后，testSpeed.py 下载了额外的内容并执行了一个名为“Sugarloader”的文件。 恶意的 Sugarloader 文件是使用“二进制打包程序”隐藏的，使其能够逃避大多数恶意软件检测系统。 Elastic 通过在初始化函数开始后中断程序并对进程的虚拟内存进行快照来识别它。 尽管被 VirusTotal 恶意软件检测标记为非恶意，Sugarloader 在连接到远程服务器后仍设法将 Kandykorn 下载到系统上。

　　2023 年加密行业网络安全挑战日益严峻

　　Kandykorn 驻留在设备的内存中，拥有各种功能，使远程服务器能够执行恶意活动。 例如，“0xD3”等命令可以列出受害者计算机目录的内容，而“resp_file_down”可以将受害者的文件传输到攻击者的系统。 Elastic 表示，此次攻击可能发生在 2023 年 XNUMX 月，这表明恶意工具和技术的不断开发带来了持续的威胁。

　　这一发展与 2023 年观察到的普遍趋势相符，当时中心化加密货币交易所和应用程序遭遇了多次攻击。 Alphapo、CoinsPaid、Atomic Wallet、Coinex 和 Stake 都是攻击目标，攻击涉及从受害者设备窃取私钥，从而将客户的加密货币转移到攻击者的地址。 包括美国联邦调查局在内的当局将其中几起袭击与拉撒路集团联系起来。

　　Coinex 黑客攻击和 Stake 攻击等事件都与该网络犯罪实体有关。 在 Lazarus 集团活动的背景下，Kandykorn 及其相关加载程序 Sugarload 的出现在加密货币领域引起了相当大的安全问题。 这些威胁的持续性要求我们提高警惕并不断改进安全措施，以应对此类恶意活动。