يستخدم المتسللون الكوريون الشماليون نسخة جديدة “مذهلة” من البرامج الضارة يطلق عليها اسم “Durian” لشن هجمات على شركات العملات المشفرة الكورية الجنوبية.
استخدمت مجموعة القرصنة الكورية الشمالية كيمسوكي البرامج الضارة الجديدة في سلسلة من الهجمات المستهدفة على شركتين على الأقل للعملات المشفرة حتى الآن، وفقًا لتقرير التهديد الصادر بتاريخ 9 مايو من شركة الأمن السيبراني كاسبيرسكي.
وقد تم ذلك من خلال هجوم “مستمر” من خلال استغلال برامج الأمان المشروعة التي تستخدمها حصريًا شركات العملات المشفرة في كوريا الجنوبية.
تعمل البرمجيات الخبيثة Durian غير المعروفة سابقًا كأداة تثبيت تنشر دفقًا مستمرًا من البرامج الضارة بما في ذلك باب خلفي يُعرف باسم “AppleSeed”، وأداة وكيل مخصصة تُعرف باسم LazyLoad، وأدوات شرعية أخرى مثل Chrome Remote Desktop.
وكتب كاسبرسكي: “يتميز دوريان بوظيفة الباب الخلفي الشاملة، مما يتيح تنفيذ الأوامر المسلمة، وتنزيل الملفات الإضافية، واستخراج الملفات”.
بالإضافة إلى ذلك، أشارت كاسبرسكي إلى أن LazyLoad تم استخدامه أيضًا من قبل Andariel، وهي مجموعة فرعية ضمن اتحاد القرصنة الكوري الشمالي Lazarus Group – وهو الأمر الذي يشير إلى وجود علاقة “ضعيفة” بين Kimsuky ومجموعة القرصنة الأكثر شهرة.
متعلق ب: مجموعة قراصنة Lazarus الكورية الشمالية تستخدم LinkedIn لاستهداف الأصول وسرقةها: تقرير
ظهرت Lazarus لأول مرة في عام 2009، وقد أثبتت نفسها كواحدة من أكثر مجموعات قراصنة العملات المشفرة شهرة.
في 29 أبريل، كشف محقق بلوكتشين المستقل ZachXBT أن مجموعة Lazarus نجحت في غسل أكثر من 200 مليون دولار من العملات المشفرة غير المشروعة بين عامي 2020 و2023.
في المجمل، تم اتهام مجموعة Lazarus بسرقة أكثر من 3 مليارات دولار من أصول العملات المشفرة في السنوات الست التي سبقت عام 2023.
يُنسب إلى Lazarus سرقة أكثر من 17% – ما يزيد قليلاً عن 309 مليون دولار – من إجمالي الأموال المسروقة في عام 2023. وطوال عام 2023، تم فقدان ما يزيد عن 1.8 مليار دولار من العملات المشفرة بسبب عمليات الاختراق والاستغلال، وفقًا لتقرير صدر يوم 28 ديسمبر من قبل Immunefi.
مجلة: تم الكشف عن الاستغلال المفضل لدى Lazarus Group – تحليل اختراقات العملات المشفرة