Noord-Koreaanse hackers hebben recentelijk een nieuwe malwarevariant genaamd “Durian” ingezet om aanvallen uit te voeren op Zuid-Koreaanse cryptobedrijven.
Uit een dreigingsrapport van 9 mei van cybersecuritybedrijf Kaspersky blijkt dat ten minste twee Zuid-Koreaanse cryptobedrijven zijn getroffen, maar het werkelijke aantal ligt waarschijnlijk hoger.
Gerichte aanvallen door Kimsuky
De aanvallen worden toegeschreven aan de Noord-Koreaanse hackgroep Kimsuky, die bekend staat om haar banden met de Noord-Koreaanse overheid. Deze aanvallen zijn bijzonder zorgwekkend vanwege hun hardnekkigheid en het gebruik van legitieme beveiligingssoftware die specifiek wordt gebruikt door Zuid-Koreaanse cryptobedrijven.
De aanvallen werden uitgevoerd door middel van een aanhoudende aanval die misbruik maakt van deze software.
Functies van de Durian-malware
De voorheen onbekende Durian-malware fungeert als een installer die een voortdurende stroom malware verspreidt. Deze malware bevat uitgebreide functies, waaronder de mogelijkheid om opdrachten uit te voeren, aanvullende bestanden te downloaden en bestanden te exfiltreren.
Onder de malware die Durian verspreidt, bevindt zich een achterdeur genaamd “AppleSeed”, een aangepaste proxytool genaamd LazyLoad, en andere legitieme tools zoals Chrome Remote Desktop.
Mogelijke connecties met Lazarus Group
Opmerkelijk is dat LazyLoad ook wordt gebruikt door Andariel, een subgroep binnen het beruchte Noord-Koreaanse hackconsortium Lazarus Group. Dit suggereert een mogelijke connectie tussen Kimsuky en de meer notoire Lazarus Group, hoewel het onduidelijk is of er sprake is van directe samenwerking tussen de twee groepen.
De rol van de Lazarus Group
De Lazarus Group, die voor het eerst opkwam in 2009, heeft zich gevestigd als een van de meest beruchte groepen van cryptohackers. De onafhankelijke blockchain-onderzoeker ZachXBT onthulde op 29 april dat de Lazarus-groep tussen 2020 en 2023 meer dan $200 miljoen dollar aan illegaal verkregen crypto had witgewassen.
De groep wordt beschuldigd van het stelen van meer dan $3 miljard dollar aan crypto-activa in de zes jaar voorafgaand aan 2023.