Elastic Security Labs memilikimengidentifikasi malware intrusi yang unik yang secara khusus menargetkan para insinyur blockchain di platform pertukaran mata uang kripto.
Serangan ini menggunakan perpaduan taktik menipu dan alat konvensional untuk mendapatkan akses tidak sah ke sistem komputer dan mengekstrak data sensitif.
Penggunaan alat penyusupan dunia maya ini pertama kali terdeteksi selama penyelidikan terhadap aktivitas latar belakang komputer Macintosh.
Serangan ini dimulai melalui program palsu yang menyamar sebagai alat penghasil keuntungan mata uang kripto, yang didistribusikan melalui pesan langsung di Discord.
Dikaitkan dengan kelompok yang diyakini beroperasi dari Republik Demokratik Rakyat Korea (DPRK) yaitu Korea Utara, kelompok ini memiliki kemiripan yang signifikan dengan Lazarus Group.
Hal ini didasarkan pada analisis metodologi, struktur jaringan, sertifikat digital, dan langkah-langkah deteksi unik yang terkait dengan Lazarus Group.
Elastic menamai bentuk intrusi khusus ini sebagai "REF7001."";
Bagaimana Lazarus Group Meretas Bursa?
Semuanya dimulai dengan cukup sederhana.
Pelaku kejahatan menggunakan identitas palsu dalam grup Discord yang didedikasikan untuk berdiskusi tentang perangkat lunak terkait mata uang kripto.
Seperti kebanyakan malware, mereka memanipulasi orang yang tidak menaruh curiga untuk mengunduh file yang tampaknya tidak berbahaya, yang pada kenyataannya menyimpan kode berbahaya.
Korban berada di bawah kesan bahwa mereka memperoleh bot arbitrase mata uang kripto, yang mampu mendeteksi perbedaan nilai tukar antara bursa dan mengambil keuntungan dari perbedaan tersebut.
Setelah membuka file ini, fase utama serangan, yang dikenal sebagai "KANDYKORN," dimulai.
Untuk menjalankan serangan itu, korban diharuskan menjalankan sebuah program.
Memainkan perannya untuk menipu korban, program asli tampak tidak berbahaya karena mengimpor file lain dan menjalankan operasi yang tampaknya rutin.
Pengguna kemudian tanpa sadar akan memainkan peran penting dalam menjalankan program ini, berpartisipasi dalam tindakan yang tampaknya rutin yang, pada kenyataannya, sangat penting untuk keberhasilan serangan tersebut.
Setelah korban menjalankan program ini, serangan REF7001 berlangsung melalui lima tahap terpisah.
Lima Tahap Serangan
Tahap 1 - Persiapan:
Program asli akan secara diam-diam menjalankan program lain. Program khusus ini akan menilai lingkungan komputer dan mempersiapkannya untuk tahap serangan berikutnya.
Tahap 2 - Memuat Malware Tambahan:
Setelah lingkungan komputer dipastikan, dua file lain yang merupakan perantara skrip Python, akan mengunduh dan menjalankan program yang dikenal dengan nama "SUGARLOADER."";
Tahap 3 - Pengangkut gula:
Program ini akan menjalankan operasi klandestin lebih lanjut. dan memfasilitasi pemuatan tahap akhir, "KANDYKORN";
Tahap 4 - Kamuflase sebagai Perselisihan:
File bernama "HLOADER/Discord(palsu)" kemudian akan berpura-pura menjadi program Discord yang sah. Ini berfungsi sebagai tipu muslihat untuk mempertahankan keberadaan program penipuan "SUGARLOADER & quot; pada sistem korban & quot;.
Tahap 5 - "Permen Jagung";
Setelah disusupi, KANDYKORN akan memiliki berbagai kemampuan. Ia dapat menerima perintah terpisah, seperti mengunduh dari komputer lain. Ia juga dapat memeriksa detail komputer, mengirim dan menerima informasi ke komputer lain, bahkan memberikan kendali komputer ke terminal lain. Singkatnya, pelanggaran yang lengkap.
Elastic menelusuri kampanye ini hingga April 2023.
Mereka melakukan ini dengan menganalisis kunci enkripsi yang digunakan untuk mengamankan komunikasi SUGARLOADER dan KANDYKORN C2.
Ancaman ini tetap aktif, dan tampaknya terus mengalami evolusi dalam hal alat dan teknik.
Lazarus Group
Lazarus adalah kelompok spionase siber mata uang kripto Korea Utara yang terkenal.
Mereka memiliki sejarah setidaknya sejak tahun 2009.
Karena sanksi yang mengelilingi DPRK, tujuan mereka adalah mencuri mata uang kripto - karena penggunaan mata uang digital membantu mereka menghindari sanksi internasional tersebut.
Peretas Korea Utara telah mencuri sekitar $3,5 miliar dari proyek-proyek mata uang kripto sejak 2016, berdasarkan laporan dari perusahaan forensik blockchain Chainalysis pada tanggal 14 September.
PBB berspekulasi bahwa dana yang dicuri digunakan untuk mendukung program rudal nuklir Korea Utara.
Coinlivedilaporkan sebelumnya tentang bagaimana Lazarus Group menggunakan LinkedIn untuk menginfeksi komputer dengan malware.
Bernice
JinseFinance
cryptopotato
Beincrypto
decrypt
Cointelegraph
Others
Finbold