Северокорейские хакеры придумали мощный способ атак на криптобиржи
Группировка Lazarus застигнута за довольно топорными, но эффективными фишинговыми атаками на сисадминов криптовалютных организаций.
Это все GDRP. Честно-честно
Северокорейская кибергруппировка Lazarus переключилась с традиционных финансовых учреждений на криптобиржи, считают эксперты компании F-Secure.
По их данным, участники Lazarus стоят за рассылкой системным администраторам криптобирж фальшивых предложений о работе через Linkedin.
Расследование нынешней кампании, в частности, началось после фишинговой атаки, в ходе которой системный администратор неназванной криптовалютной организации получил в личном аккаунте на Linkedin подложное предложение о работе в другой компании.
К сообщению прилагался вредоносный документ Word. При попытке открыть его пользователю вывелось сообщения о том, что документ "находится под защитой GDRP" (Генерального регламента ЕС по защите персональных данных), поэтому для его чтения якобы требуется "включить содержимое", т. е. снять защиту и активировать макросы.
Естественно, сразу после отключения защиты должны были срабатывать макросы, которые скачивали вредоносные файлы на компьютер жертвы.
В данном конкретном случае, как сказано в отчете F-Secure, документ на машине потенциальной жертвы был изменен так, чтобы удалять всякий вредоносный контент после его исполнения, эксперты компании установили, что исходный документ и вредосные компоненты были идентичны или очень похожи на те, что ранее уже попадали на VirusTotal, - об этом свидетельствовали метаданные и последствия запуска, сохранившиеся в базе данных System Resource Usage Monitor.
Собрать птицу по перьям
Исследователи констатировали значительное сходство между вредоносами, выявленными в данном случае, и инструментами, которые "Лаборатория Касперского" идентифицировала и отождествила с Lazarus/APT38 еще в 2016 г.
Как отметили эксперты F-Secure, члены Lazarus приложили немало усилий, чтобы обойти защиту в атакованных организациях: была предпринята попытка деактивировать антивирус, а также устранить все следы присутствия вредоносных "имплантов", однако их все равно удалось выявить и проанализировать.
По данным F-Secure, попытались атаковать таким образом "организации в криптовалютной вертикали" в Великобритании, США, Нидерландах, Германии, Сингапуре, Японии и как минимум еще в восьми странах. Работали адресно: фальшивые предложения о работе получали отнюдь не случайные люди.
Группировка Lazarus давно известна атаками на финансовые учреждения во всем мире; в течение длительного времени они пытались выводить финансовые средства в Северную Корею, чья экономика по понятным причинам находится не в лучшем состоянии.
