エラスティック・セキュリティ・ラボの10月31日のレポートによると、北朝鮮のハッカー集団「ラザラス・グループ」は新型マルウェアを用いて仮想通貨取引所を攻撃しようと試みた。
エラスティックはこの新型マルウェアを「KANDYKORN」、それをメモリにロードするプログラムを「SUGARLOAD」と命名した。ローダーファイルは名前に新しい「.sld」拡張子を持っている。エラスティックは攻撃対象となった取引所の名前を公表していない。
2023年、仮想通貨取引所は多数のハッキング攻撃に見舞われ、その大部分がラザラス・グループによるものと指摘されている。
エラスティックによれば、攻撃はラザラスのメンバーがブロックチェーンエンジニアになりすまし、想通貨取引所のエンジニアを狙ったところから始まった。攻撃者はDiscordで連絡を取り、異なる取引所間の仮想通貨価格の差異から利益を得ることができるアービトラージ・ボットを設計したと主張した。攻撃者はエンジニアを説得し、この「ボット」をダウンロードさせた。プログラムのZIPフォルダ内のファイルは、「config.py」や「pricetable.py」など、アービトラージボットであるかのように見せかけた名前がつけられていた。
エンジニアがプログラムを実行すると、「Main.py」ファイルが実行され、通常のプログラムとともに「Watcher.py」という悪意のあるファイルが実行された。「Watcher.py」はGoogle Driveアカウントに接続し、その内容を「testSpeed.py」という別のファイルにダウンロードし始めた。悪意のあるプログラムは、その後、「testSpeed.py」を一度だけ実行し、痕跡を消すために削除された。
「testSpeed.py」の一回限りの実行中に、プログラムはさらに内容をダウンロードし、最終的にエラスティックが「SUGARLOADER」と呼ぶファイルを実行した。このファイルは「バイナリパッカー」を使用して難読化されており、エラスティックによれば、ほとんどのマルウェア検出プログラムを回避することができた。しかし、初期化関数が呼び出された後にプログラムを停止させることで発見することができた。
エラスティックによれば、彼らはSUGARLOADERにVirusTotalマルウェア検出を実行し、検出器はファイルが悪意のあるものではないと宣言したという。
SUGARLOADERがコンピュータにダウンロードされると、リモートサーバに接続し、KANDYKORNをデバイスのメモリに直接ダウンロードした。KANDYKORNには、リモートサーバがさまざまな悪意のある活動を実行するために使用できる多数の機能が含まれている。例えば、「0xD3」のコマンドは被害者のコンピュータのディレクトリの内容をリスト化するために使用でき、「resp_file_down」は被害者のファイルを攻撃者のコンピュータに転送するために使用できる。
エラスティックは、攻撃は2023年4月に発生したと考えている。そして今日も依然として攻撃が行われているとし、「この脅威は依然として活動的であり、ツールや手法は継続的に開発されている」という。
2023年、中央集権型の仮想通貨取引所やアプリは一連の攻撃に見舞われた。Alphapo、CoinsPaid、Atomic Wallet、Coinex、Stakeなどがこれらの攻撃の被害者となり、攻撃の大部分は攻撃者が被害者のデバイスから秘密鍵を盗み出し、それを使って顧客の仮想通貨を攻撃者のアドレスに転送するものだった。米国の連邦捜査局(FBI)は、ラザラス・グループがCoinexのハッキング、Stakeへの攻撃などに関与していると指摘している。
翻訳・編集 コインテレグラフジャパン