Северокорейские хакеры придумали мощный способ атак на криптобиржи
Группировка Lazarus застигнута за довольно топорными, но эффективными фишинговыми атаками на сисадминов криптовалютных организаций.
Это всё GDRP. Честно-честно
Северокорейская кибергруппировка Lazarus переключилась с традиционных финансовых учреждений на криптобиржи, считают эксперты компании F-Secure.
По их данным, участники Lazarus стоят за рассылкой системным администраторам криптобирж фальшивых предложений о работе через Linkedin.
Расследование нынешней кампании, в частности, началось после фишинговой атаки, в ходе которой системный администратор неназванной криптовалютной организации получил в личном аккаунте на Linkedin подложное предложение о работе в другой компании.
К сообщению прилагался вредоносный документ Word. При попытке открыть его пользователю вывелось сообщения о том, что документ «находится под защитой GDRP» (Генерального регламента ЕС по защите персональных данных), поэтому для его чтения якобы требуется «включить содержимое», т.е. снять защиту и активировать макросы.
Естественно, сразу после отключения защиты должны были срабатывать макросы, которые скачивали вредоносные файлы на компьютер жертвы.
В данном конкретном случае, как сказано в отчёте F-Secure, документ на машине потенциальной жертвы был изменён так, чтобы удалять всякий вредоносный контент после его исполнения, эксперты компании установили, что исходный документ и вредосные компоненты были идентичны или очень похожи на те, что ранее уже попадали на VirusTotal, - об этом свидетельствовали метаданные и последствия запуска, сохранившиеся в базе данных System Resource Usage Monitor.
Собрать птицу по перьям
Исследователи констатировали значительное сходство между вредоносами, выявленными в данном случае, и инструментами, которые «Лаборатория Касперского» идентифицировала и отождествила с Lazarus/APT38 ещё в 2016 г.
Как отметили эксперты F-Secure, члены Lazarus приложили немало усилий, чтобы обойти защиту в атакованных организациях: была предпринята попытка деактивировать антивирус, а также устранить все следы присутствия вредоносных «имплантов», однако их всё равно удалось выявить и проанализировать.
По данным F-Secure, попытались атаковать таким образом «организации в криптовалютной вертикали» в Великобритании, США, Нидерландах, Германии, Сингапуре, Японии и как минимум ещё в восьми странах. Работали адресно: фальшивые предложения о работе получали отнюдь не случайные люди.
Группировка Lazarus давно известна атаками на финансовые учреждения во всём мире; в течение длительного времени они пытались выводить финансовые средства в Северную Корею, чья экономика по понятным причинам находится не в лучшем состоянии.