根据Elastic Security Labs 10月31日的一份报告，Lazarus Group使用了一种新形式的恶意软件，试图破坏加密货币交易所。

Elastic将新的恶意软件命名为“KANDYKORN”，将其加载到内存的加载程序命名为“SUGARLOAD”，因为加载程序文件的名称中有一个新颖的扩展名“.sld”。Elastic没有命名目标交换机。

2023年，加密货币交易所遭遇了一系列私钥黑客攻击，其中大部分被追踪到朝鲜网络犯罪企业Lazarus Group。

据Elastic报道，攻击始于Lazarus成员冒充区块链工程师，并将目标锁定在未命名的加密货币交易所的工程师身上。攻击者在Discord上取得了联系，声称他们设计了一个有利可图的套利机器人，可以从不同交易所的加密货币价格差异中获利。

攻击者说服工程师下载这个“机器人”。该程序ZIP文件夹中的文件有“config.py”和“pricetable.py”等伪装名称，使其看起来像是一个套利机器人。

一旦工程师运行了程序，它执行了一个运行一些普通程序的“Main.py”文件，以及一个名为“Watcher.py”的恶意文件。Watcher.y建立了与远程谷歌硬盘帐户的连接，并开始将其中的内容下载到另一个名称为testSpeed.py的文件中。然后，该恶意程序在删除testSpeed.by之前运行了一次，以掩盖其踪迹。

在testSpeed.py的单次执行过程中，该程序下载了更多内容，并最终执行了一个Elastic称为“SUGARLOADER”的文件。Elastic表示，该文件使用“二进制打包器”进行了模糊处理，使其能够绕过大多数恶意软件检测程序。然而，他们能够通过在调用初始化函数后强制程序停止，然后对进程的虚拟内存进行快照来发现它。

根据Elastic的说法，他们在SUGARLOADER上运行了VirusTotal恶意软件检测，检测器宣布该文件不是恶意的。

相关：加密货币公司小心：Lazarus的新恶意软件现在可以绕过检测

SUGARLOADER下载到计算机后，它连接到远程服务器，并将KANDYKORN直接下载到设备的内存中。KANDYKORN包含许多功能，远程服务器可以使用这些功能来执行各种恶意活动。例如，命令“0xD3”可用于列出受害者计算机上目录的内容，“resp_file_down”可用于将受害者的任何文件传输到攻击者的计算机。

Elastic认为，袭击发生在2023年4月。它声称，该程序今天可能仍被用于执行攻击，并表示：

“这种威胁仍然存在，工具和技术正在不断发展。”

2023年，集中式加密货币交易所和应用程序遭受了一系列攻击。Alphabo、CoinsAid、Atomic Wallet、Coinex、Stake和其他公司都是这些攻击的受害者，其中大多数攻击似乎涉及攻击者从受害者的设备上窃取私钥，并用它将客户的加密货币转移到攻击者的地址。

美国联邦调查局（FBI）指控Lazarus集团是Coinex黑客攻击的幕后黑手，并实施了Stake攻击等。