North Korean Hackers Target Crypto Firms With ‘Durian’ Malware, Kaspersky Confirms

CryptoNews · 2024-05-13T08:53:05.000Z

North Korean hackers have deployed a new malware variant called “Durian” to attack South Korean cryptocurrency firms. According to a May 9 threat report from cybersecurity firm Kaspersky, the North Korean hacking group Kimsuky used this malware in targeted attacks on at least two cryptocurrency firms. The attacks were conducted by exploiting legitimate security software used exclusively by South Korean crypto firms. The previously undisclosed Durian malware serves as an installer, deploying a steady stream of spyware, including a backdoor called “AppleSeed,” a bespoke proxy tool called LazyLoad, and other genuine programs like Chrome Remote Desktop. “Durian boasts comprehensive backdoor functionality, enabling the execution of delivered commands, additional file downloads, and exfiltration of files,” Kaspersky stated. Furthermore, the cybersecurity firm discovered that LazyLoad was also used by Andariel, a sub-organization inside fellow North Korean hacking consortia Lazarus group, implying a “tenuous” link between Kimsuky and the more infamous hacking organization. Having first surfaced in 2009, Lazarus has become one of the most notorious cryptocurrency hacker groups. On April 29, ZachXBT, an independent blockchain investigator, reported that the Lazarus business had successfully laundered over $200 million in ill-gotten cryptocurrency between 2020 and 2023. In May, The United Nations Security Council released a report indicating North Korea’s escalating involvement in cyberattacks, which now comprise almost half of its foreign currency earnings. Although investigations are still ongoing, the Lazarus Group is suspected of stealing more than $3 billion in cryptocurrency assets over the course of six years, culminating in 2023. You might also like: Lazarus Group hackers launch new method for cyber attacks Lazarus was accused of stealing more than 17% — or slightly more than $300 million — of all stolen funds in 2023. According to an Immunefi analysis released on December 28, more than $1.8 billion in cryptocurrency was lost due to attacks and exploits in 2023. The notorious group Lazarus has been reported to use crypto mixers extensively in their operations to obscure the origins of stolen funds. As concerns about laundering through privacy protocols persist, Railgun, a popular protocol, has refuted allegations of being used by North Korean hackers or sanctioned individuals. The claims came to light following a January 2023 FBI statement suggesting that North Korea’s Lazarus Group had laundered over $60 million in Ethereum through Railgun after a cyberattack in June 2022. Following the U.S. sanctions on popular crypto mixer Tornado Cash, there were speculations that Railgun was becoming a preferred alternative for such operations. Read more: Is Lazarus Group the biggest threat to crypto in this bull market?

Hackers norte-coreanos implantaram uma nova variante de malware chamada “Durian” para atacar empresas sul-coreanas de criptomoeda.
De acordo com um relatório de ameaças de 9 de maio da empresa de segurança cibernética Kaspersky, o grupo de hackers norte-coreano Kimsuky usou esse malware em ataques direcionados a pelo menos duas empresas de criptomoedas.
Os ataques foram conduzidos através da exploração de software de segurança legítimo usado exclusivamente por empresas de criptografia sul-coreanas. O malware Durian, anteriormente não divulgado, serve como instalador, implantando um fluxo constante de spyware, incluindo um backdoor chamado “AppleSeed”, uma ferramenta de proxy personalizada chamada LazyLoad e outros programas genuínos como o Chrome Remote Desktop.
“Durian possui funcionalidade backdoor abrangente, permitindo a execução de comandos entregues, downloads adicionais de arquivos e exfiltração de arquivos”, afirmou Kaspersky.
Além disso, a empresa de segurança cibernética descobriu que o LazyLoad também foi usado por Andariel, uma suborganização dentro do grupo Lazarus, consórcio de hackers norte-coreano, o que implica uma ligação “tênue” entre Kimsuky e a organização de hackers mais infame.
Tendo surgido pela primeira vez em 2009, o Lazarus se tornou um dos mais notórios grupos de hackers de criptomoedas.
Em 29 de abril, ZachXBT, um investigador independente de blockchain, relatou que o negócio Lazarus lavou com sucesso mais de US$ 200 milhões em criptomoedas ilícitas entre 2020 e 2023.
Em Maio, o Conselho de Segurança das Nações Unidas divulgou um relatório indicando o crescente envolvimento da Coreia do Norte em ataques cibernéticos, que representam agora quase metade dos seus ganhos em moeda estrangeira. Embora as investigações ainda estejam em andamento, o Grupo Lazarus é suspeito de roubar mais de US$ 3 bilhões em ativos de criptomoeda ao longo de seis anos, culminando em 2023.
Você também pode gostar: Hackers do Grupo Lazarus lançam novo método para ataques cibernéticos
Lazarus foi acusado de roubar mais de 17% — ou pouco mais de US$ 300 milhões — de todos os fundos roubados em 2023. De acordo com uma análise da Immunefi divulgada em 28 de dezembro, mais de US$ 1,8 bilhão em criptomoedas foram perdidos devido a ataques e explorações em 2023.
Foi relatado que o notório grupo Lazarus usa extensivamente misturadores de criptografia em suas operações para ocultar as origens dos fundos roubados. À medida que persistem as preocupações sobre a lavagem por meio de protocolos de privacidade, o Railgun, um protocolo popular, refutou as alegações de ser usado por hackers norte-coreanos ou por indivíduos sancionados.
As alegações vieram à tona após uma declaração do FBI de janeiro de 2023, sugerindo que o Grupo Lazarus da Coreia do Norte havia lavado mais de US$ 60 milhões em Ethereum por meio da Railgun após um ataque cibernético em junho de 2022.
Após as sanções dos EUA ao popular misturador de criptografia Tornado Cash, houve especulações de que o Railgun estava se tornando uma alternativa preferida para tais operações.
Leia mais: O Grupo Lazarus é a maior ameaça à criptografia neste mercado altista?

Hackers norte-coreanos visam empresas de criptografia com malware ‘Durian’, confirma Kaspersky

Explore mais do Criador

Últimas Notícias