North Korean Hackers Target Crypto Firms With ‘Durian’ Malware, Kaspersky Confirms

CryptoNews · 2024-05-13T08:53:05.000Z

North Korean hackers have deployed a new malware variant called “Durian” to attack South Korean cryptocurrency firms. According to a May 9 threat report from cybersecurity firm Kaspersky, the North Korean hacking group Kimsuky used this malware in targeted attacks on at least two cryptocurrency firms. The attacks were conducted by exploiting legitimate security software used exclusively by South Korean crypto firms. The previously undisclosed Durian malware serves as an installer, deploying a steady stream of spyware, including a backdoor called “AppleSeed,” a bespoke proxy tool called LazyLoad, and other genuine programs like Chrome Remote Desktop. “Durian boasts comprehensive backdoor functionality, enabling the execution of delivered commands, additional file downloads, and exfiltration of files,” Kaspersky stated. Furthermore, the cybersecurity firm discovered that LazyLoad was also used by Andariel, a sub-organization inside fellow North Korean hacking consortia Lazarus group, implying a “tenuous” link between Kimsuky and the more infamous hacking organization. Having first surfaced in 2009, Lazarus has become one of the most notorious cryptocurrency hacker groups. On April 29, ZachXBT, an independent blockchain investigator, reported that the Lazarus business had successfully laundered over $200 million in ill-gotten cryptocurrency between 2020 and 2023. In May, The United Nations Security Council released a report indicating North Korea’s escalating involvement in cyberattacks, which now comprise almost half of its foreign currency earnings. Although investigations are still ongoing, the Lazarus Group is suspected of stealing more than $3 billion in cryptocurrency assets over the course of six years, culminating in 2023. You might also like: Lazarus Group hackers launch new method for cyber attacks Lazarus was accused of stealing more than 17% — or slightly more than $300 million — of all stolen funds in 2023. According to an Immunefi analysis released on December 28, more than $1.8 billion in cryptocurrency was lost due to attacks and exploits in 2023. The notorious group Lazarus has been reported to use crypto mixers extensively in their operations to obscure the origins of stolen funds. As concerns about laundering through privacy protocols persist, Railgun, a popular protocol, has refuted allegations of being used by North Korean hackers or sanctioned individuals. The claims came to light following a January 2023 FBI statement suggesting that North Korea’s Lazarus Group had laundered over $60 million in Ethereum through Railgun after a cyberattack in June 2022. Following the U.S. sanctions on popular crypto mixer Tornado Cash, there were speculations that Railgun was becoming a preferred alternative for such operations. Read more: Is Lazarus Group the biggest threat to crypto in this bull market?

Tin tặc Triều Tiên đã triển khai một biến thể phần mềm độc hại mới có tên “Durian” để tấn công các công ty tiền điện tử của Hàn Quốc.
Theo báo cáo về mối đe dọa ngày 9 tháng 5 từ công ty an ninh mạng Kaspersky, nhóm hack Kimsuky của Triều Tiên đã sử dụng phần mềm độc hại này trong các cuộc tấn công có chủ đích vào ít nhất hai công ty tiền điện tử.
Các cuộc tấn công được thực hiện bằng cách khai thác phần mềm bảo mật hợp pháp được sử dụng độc quyền bởi các công ty tiền điện tử của Hàn Quốc. Phần mềm độc hại Durian chưa được tiết lộ trước đây đóng vai trò như một trình cài đặt, triển khai một dòng phần mềm gián điệp ổn định, bao gồm một cửa sau có tên “AppleSeed”, một công cụ proxy riêng biệt có tên LazyLoad và các chương trình chính hãng khác như Chrome Remote Desktop.
Kaspersky tuyên bố: “Durian tự hào có chức năng cửa hậu toàn diện, cho phép thực hiện các lệnh đã gửi, tải xuống các tệp bổ sung và đánh cắp các tệp”.
Hơn nữa, công ty an ninh mạng phát hiện ra rằng LazyLoad cũng được Andariel, một tổ chức phụ bên trong nhóm tin tặc Lazarus của Triều Tiên, sử dụng, ngụ ý về mối liên hệ "mong manh" giữa Kimsuky và tổ chức tin tặc khét tiếng hơn.
Lần đầu tiên xuất hiện vào năm 2009, Lazarus đã trở thành một trong những nhóm tin tặc tiền điện tử khét tiếng nhất.
Vào ngày 29 tháng 4, ZachXBT, một nhà điều tra blockchain độc lập, đã báo cáo rằng doanh nghiệp Lazarus đã rửa thành công hơn 200 triệu đô la tiền điện tử bất hợp pháp từ năm 2020 đến năm 2023.
Vào tháng 5, Hội đồng Bảo an Liên hợp quốc đã công bố một báo cáo chỉ ra sự tham gia ngày càng tăng của Triều Tiên vào các cuộc tấn công mạng, hiện chiếm gần một nửa thu nhập ngoại tệ của nước này. Mặc dù các cuộc điều tra vẫn đang được tiến hành, nhưng Lazarus Group bị nghi ngờ đã đánh cắp hơn 3 tỷ đô la tài sản tiền điện tử trong suốt sáu năm, lên đến đỉnh điểm vào năm 2023.
Bạn cũng có thể thích: Nhóm tin tặc Lazarus tung ra phương pháp mới để tấn công mạng
Lazarus bị cáo buộc đánh cắp hơn 17% - hay hơn 300 triệu đô la một chút - trong tổng số tiền bị đánh cắp vào năm 2023. Theo phân tích của Immunefi được công bố vào ngày 28 tháng 12, hơn 1,8 tỷ đô la tiền điện tử đã bị mất do các cuộc tấn công và khai thác vào năm 2023.
Nhóm khét tiếng Lazarus đã được báo cáo là sử dụng rộng rãi các máy trộn tiền điện tử trong các hoạt động của họ để che giấu nguồn gốc của các khoản tiền bị đánh cắp. Khi mối lo ngại về việc rửa tiền thông qua các giao thức bảo mật vẫn tồn tại, Railgun, một giao thức phổ biến, đã bác bỏ các cáo buộc được sử dụng bởi tin tặc Triều Tiên hoặc các cá nhân bị trừng phạt.
Những khiếu nại này được đưa ra ánh sáng sau tuyên bố của FBI vào tháng 1 năm 2023 cho rằng Nhóm Lazarus của Triều Tiên đã rửa hơn 60 triệu đô la Ethereum thông qua Railgun sau một cuộc tấn công mạng vào tháng 6 năm 2022.
Sau lệnh trừng phạt của Hoa Kỳ đối với sàn giao dịch tiền điện tử phổ biến Tornado Cash, có nhiều suy đoán rằng Railgun đang trở thành lựa chọn thay thế được ưa chuộng cho các hoạt động như vậy.
Đọc thêm: Lazarus Group có phải là mối đe dọa lớn nhất đối với tiền điện tử trong thị trường tăng giá này không?

Khám phá thêm từ Nhà sáng tạo nội dung

Tin tức mới nhất

Khám phá thêm từ Nhà sáng tạo nội dung

Tin tức mới nhất

Bài viết thịnh hành