【速報】Lazarus Groupが新しいマルウェアを使用し、仮想通貨取引所を脅かした可能性がある

新たなマルウェア「Kandykorn」とその攻撃手法

10月31日のElastic Security Labsの報告によると、Lazarus Groupが新たなマルウェアを使用して仮想通貨取引所を侵害しようとしたという。Elasticはこの新たなマルウェアを「Kandykorn」と名付け、それをメモリに読み込むローダープログラムを「Sugarload」と呼んでいる。ローダーファイルは、新たな「.sld」拡張子を持っている。Elasticは攻撃対象となった取引所の名前は明かしていない。

攻撃の手法とターゲット

Elasticによれば、攻撃はLazarusのメンバーがブロックチェーンエンジニアとして振る舞い、未記載の仮想通貨取引所のエンジニアに狙いを定めたことで始まった。攻撃者はDiscordで連絡を取り、異なる取引所間の暗号通貨価格の差異から利益を得ることができるという利益を生むアービトラージボットを作成したと主張した。攻撃者はエンジニアたちにこの「ボット」をダウンロードするよう説得し、プログラムのZIPフォルダ内には「config.py」と「pricetable.py」といった偽装された名前のファイルがあり、それがアービトラージボットであるように見せかけた。

Kandykornの感染プロセス

エンジニアがプログラムを実行すると、「Main.py」というファイルが実行され、通常のプログラムと共に「Watcher.py」という悪意のあるファイルも実行される。Watcher.pyはリモートのGoogle Driveアカウントと接続し、その内容を別の「testSpeed.py」というファイルにダウンロードし始める。この悪意のあるプログラムは、その後、testSpeed.pyを一度実行してからトラックを隠すために削除する。testSpeed.pyが一度だけ実行される間に、プログラムはさらなるコンテンツをダウンロードし、最終的にElasticが「Sugarloader」と呼んでいるファイルを実行する。このファイルは「バイナリパッカー」を使用して難読化されており、ほとんどのマルウェア検出プログラムをバイパスすることができると述べている。しかし、Elasticは、プログラムが初期化関数を呼び出した後にプログラムを停止させ、プロセスの仮想メモリをスナップショットすることでそれを発見することができたと述べている。Elasticによれば、Sugarloaderに対してVirusTotalのマルウェア検出を実行したところ、検出器はそのファイルを悪意のあるものではないと判断したという。

依然として活動中の脅威

Sugarloaderがコンピュータにダウンロードされると、リモートサーバーに接続し、Kandykornを直接デバイスのメモリにダウンロードする。Kandykornには、リモートサーバーが様々な悪意のある活動を行うために使用できる多くの機能が含まれている。たとえば、コマンド「0xD3」は被害者のコンピュータのディレクトリの内容をリストアップするために使用され、コマンド「resp_file_down」は被害者のファイルを攻撃者のコンピュータに転送するために使用される。

Elasticは、この攻撃が2023年4月に行われたと考えている。彼らはプログラムが現在も攻撃を行うために使用されている可能性があり、次のように述べている：「この脅威は現在も活動しており、ツールや技術は継続的に開発されている」。

タグ: