حمله بدافزاری هکرهای کره شمالی به شرکت‌های رمزنگاری کره جنوبی

به گزارش کارگروه حملات سایبری سایبربان؛ گزارش اخیر شرکت امنیت سایبری کسپرسکی (Kaspersky) نشان می‌دهد که هکرهای کره شمالی، به ویژه گروه کیمسوکی (Kimsuky)، از یک بدافزار جدید و قابل توجه به نام دوریان (Durian) برای انجام حملات علیه شرکت‌های ارز دیجیتال کره جنوبی استفاده کرده‌اند. این حملات که به عنوان حملات مداوم توصیف می‌شوند، از نرم‌افزار امنیت قانونی که منحصراً توسط شرکت‌های رمزنگاری در کره جنوبی استفاده می‌شود، بهره‌برداری می‌کنند.

بدافزار دوریان که قبلاً برای جامعه امنیت سایبری ناشناخته بود، به عنوان نصب کننده‌ای عمل می‌کند که مجموعه‌ای از بدافزارها، از جمله یک درب پشتی به نام «AppleSeed»، یک ابزار پروکسی سفارشی به نام «LazyLoad» و دیگر ابزارهای قانونی مانند «Chrome Remote Desktop» را اجرا می‌کند. کسپرسکی خاطرنشان کرد که دوریان دارای عملکرد درب پشتی جامعی است که امکان اجرای دستورات تحویل‌شده، دانلود فایل‌های اضافی و استخراج داده‌ها را فراهم می‌کند.

کسپرسکی همچنین ادعا کرد که LazyLoad، ابزار پروکسی مورد استفاده دوریان، قبلاً با «Andariel»، یک زیر گروه در کنسرسیوم هک کره شمالی گروه لازاروس (Lazarus Group) مرتبط بوده که نشان دهنده ارتباط احتمالی بین کیمسوکی و گروه لازاروس است.

به گفته محققان، تنها در سال 2023، لازاروس مسئول غارت بیش از 309 میلیون دلار بود که تقریباً 17 درصد از کل وجوه دزدیده شده در آن سال را تشکیل می‌داد. طبق گزارش شرکت امنیت سایبری «Immunefi»، بیش از 1.8 میلیارد دلار ارزهای دیجیتال در طول سال 2023 قربانی هک‌ها و سوءاستفاده‌ها شدند.