گروه هکری Kimsuky با بدافزار جدید به شرکت‌های رمز ارز کره جنوبی حمله کرد

بر اساس گزارش اطلاعات تهدید منتشر شده توسط کسپرسکی، گروه هکری Kimsuky مظنون به فعالیت تحت حمایت کره شمالی، از بدافزار جدیدی به نام «Durian» برای حمله به شرکت‌های رمز ارز کره جنوبی استفاده کرده است.

این بدافزار به طور خاص برای دور زدن و سوءاستفاده از نرم‌افزارهای امنیتی مستقر در شرکت‌های هدف طراحی شده است. گزارش کسپرسکی تایید می‌کند که حداقل دو شرکت مورد حمله قرار گرفته‌اند.

تحقیقات کسپرسکی نشان می‌دهد: «بر اساس داده‌های دریافتی، دو مورد حمله را در بخش رمزارز کره جنوبی شناسایی کرده‌ایم. نفوذ اولیه در آگوست ۲۰۲۳ و حمله دوم در نوامبر ۲۰۲۳ رخ داده است. عدم شناسایی موارد بیشتر، بیانگر هدفمند بودن بالای حملات است.»

بدافزار Durian یک ابزار نصب‌کننده در مرحله اولیه است که پس از اجرا، بدافزارهای تکمیلی را نصب کرده و در سیستم هدف، قابلیت پایداری ایجاد می‌کند. Durian سپس یک لودر مرحله‌ای تولید کرده و آن را برای اجرای خودکار به سیستم اضافه می‌کند. در نهایت، یک پِی‌لود نهایی نوشته شده با Golang (زبان برنامه‌نویسی متن‌باز توسعه‌یافته توسط گوگل) نصب می‌شود.

این پِی‌لود امکان اجرای دستورات از راه دور را فراهم می‌کند که به دستگاه آلوده شده دستور می‌دهد تا فایل‌ها را دانلود و خارج کند. انتخاب Golang به دلیل کارایی آن در محیط‌های شبکه‌ای و با حجم کد بالا، محتمل به نظر می‌رسد. یکی از یافته‌های جالب توجه گزارش کسپرسکی، کشف ارتباطی ضعیف بین Kimsuky و گروه بدنام کره شمالی Lazarus Group است. ابزار LazyLoad که توسط Durian به کار گرفته می‌شود، پیش‌تر در فعالیت‌های گروه Andariel، زیرمجموعه Lazarus Group، مشاهده شده است.

گروه Lazarus که از سال ۲۰۰۹ شناخته شده، به عنوان یکی از برجسته‌ترین بازیگران در حوزه سرقت رمزارز شناخته می‌شود. ZachXBT، تحلیلگر مستقل بلاک‌چین، به تازگی فاش کرده است که Lazarus طی سال‌های ۲۰۲۰ تا ۲۰۲۳ موفق به پولشویی بیش از ۲۰۰ میلیون دلار رمزارز حاصل از فعالیت‌های غیرقانونی شده است. بر اساس برآوردها، کل دارایی‌های دیجیتال سرقت‌شده توسط Lazarus طی  این دوره، بیش از ۳ میلیارد دلار است. لازم به ذکر است که هفته گذشته دادگاهی در ایالات متحده، حکم به ضبط ۲۷۹ حساب رمزارز مرتبط با فعالیت‌های مجرمانه کره شمالی صادر کرده است.