Le groupe de pirates nord-coréen, Lazarus Group reconnu pour ses multiples attaques contre le secteur crypto, a récemment lancé une nouvelle offensive en utilisant un tout nouvel outil malveillant baptisé « Kandykorn ». Comme l’ont révélé les enquêtes d’Elastic Security, ce nouvel outil vise à intensifier les attaques du groupe contre les plateformes d’échange crypto.
Le Kandykorn, un logiciel malveillant avancé du groupe Lazarus
Le mardi 31 octobre, Elastic Security Labs a révélé la découverte d’un logiciel malveillant hautement sophistiqué nommé « Kandykorn » au cours de son enquête sur les activités du Lazarus Group, datant d’avril 2023.
L’analyse approfondie de l’infrastructure réseau et des tactiques utilisées a permis d’attribuer ce développement au groupe nord-coréen. Les pirates se sont fait passer pour des ingénieurs blockchain, ciblant d’autres experts des Exchanges crypto au sein d’un serveur Discord public.
Le logiciel malveillant « Kandykorn », déployé par le Lazarus Group, représente un outil d’une grande sophistication, conçu pour surveiller, interagir et échapper à toute tentative de détection.
Les assaillants ont prétendu avoir créé un robot d’arbitrage lucratif capable d’exploiter les variations de prix entre différentes cryptomonnaies sur diverses plateformes d’échange.
Déploiement du logiciel malveillant, Kandykorn !
Selon le rapport, le déploiement du logiciel Kandykorn se déroule en cinq étapes, chacune étant conçue pour maximiser son efficacité.
- 1) Initial Compromise – Watcher.py
- 2) Dropper – testSpeed.py and FinderTools
- 3) Payload – .sld and .log – SUGARLOADER
- 4) Loader – Discord (fake) – HLOADER
- 5) Payload – KANDYKORN
Le processus commence par l’exécution d’un script Python nommé « Watcher.py« stocké dans un fichier intitulé « Main.py« . Ce script établit une connexion à un compte Google Drive distant, permettant le téléchargement du contenu dans un fichier appelé « testSpeed.py. » Une fois cette étape terminée, « testSpeed.py » est rapidement supprimé pour effacer toute trace.
Pendant l’exécution de « testSpeed.py » du contenu supplémentaire est téléchargé depuis Google Drive. Ce contenu supplémentaire est récupéré par un autre fichier Python nommé « FinderTools« . FinderTools procède ensuite au téléchargement et à l’exécution « SUGARLOADER. »
SUGARLOADER utilise un « emballeur binaire » pour se cacher, ce qui rend difficile sa détection par la plupart des programmes anti-malware. Elastic Security Labs a réussi à l’identifier en interrompant les fonctions post-initialisation du programme et en analysant la mémoire virtuelle.
Une fois établi, SUGARLOADER établit une connexion avec un serveur distant, récupérant ainsi la charge utile de la dernière étape, KANDYKORN. Cette charge utile est exécutée directement en mémoire.
De plus, SUGARLOADER lance un binaire auto-signé basé sur Swift, appelé « HLOADER », se faisant passer pour l’application Discord légitime. Il parvient à persister en utilisant une technique connue sous le nom de « détournement de flux d’exécution ».
Prendre le contrôle de la cible grâce à Kandykorn
Kandykorn, la charge utile finale, se présente comme un puissant cheval de Troie d’accès à distance (RAT) doté d’un large éventail de capacités malveillantes. Il peut énumérer les fichiers, exécuter d’autres logiciels malveillants, exfiltrer des données, terminer des processus et exécuter des commandes arbitraires. En d’autres termes, cela peut vite dégénérer…
Un peu compliqué ? En bref, cette menace donne au serveur distant un contrôle complet sur le système de la victime, mettant en péril la sécurité des plateformes d’échange de cryptomonnaies.
Les attaques du Lazarus Group avec le Kandykorn représentent une menace majeure pour les exchanges. Le groupe a été responsable de nombreux piratages de clés privées cette année, volant près de 240 millions de dollars en crypto depuis juin. Ces victimes incluent Atomic Wallet, CoinsPaid, Alphapo, CoinEx et Stake.com.
Quelles mesures pensez-vous qu’il faille mettre en place pour contrer ce type d’attaque et faire en sorte que justice soit rendue ?
Journaliste chez Coinpri, j’ai été captivé par l’univers du bitcoin et de la blockchain dès 2020. L’aspect décentralisé du Bitcoin a particulièrement éveillé mon intérêt. Depuis lors, je m’emploie constamment à diffuser mes connaissances, espérant voir un jour un monde où chacun profite pleinement de sa liberté financière.
