Північнокорейська хакерська група Lazarus у вересні 2024 року активізувала свої кібератаки на криптовалютний ринок, впровадивши нові види шкідливого програмного забезпечення, націлені на розширення для браузерів і програми для відеоконференцій, як повідомляє в недавньому звіті компанія Group-IB, яка займається кібербезпекою.
Звіт визначає, як група розширила свою діяльність, включивши до неї ці платформи, використовуючи дедалі складніші варіанти шкідливого ПЗ.
Атаки групи Lazarus на розширення для браузерів
На додаток до кампанії «Заразне інтерв'ю», в рамках якої претендентів на роботу обманювали, змушуючи завантажувати шкідливе ПЗ під виглядом завдань, пов'язаних з роботою, група Lazarus тепер розширила свої атаки, включивши в них підроблені додатки для відеоконференцій.
Ця схема тепер включає підроблену програму для відеоконференцій під назвою "FCCCall", яка імітує законне програмне забезпечення.
Після встановлення програма впроваджує шкідливе ПЗ BeaverTail, яке призначене для крадіжки облікових даних із браузерів та даних із криптовалютних гаманців через розширення для браузерів.
Потім воно встановлює бекдор на базі Python під назвою InvisibleFerret, що ще більше компрометує систему жертви.
Ця остання кампанія підкреслює їхню зростаючу увагу до криптовалютних гаманців, що використовують розширення для браузерів, зокрема MetaMask, Coinbase, BNB Chain Wallet, TON Wallet та Exodus Web3.
Аналітики Group-IB зазначають, що тепер група орієнтована на широкий спектр додатків, включаючи MetaMask та Coinbase.
Використовуючи шкідливий JavaScript, вони заманюють жертв завантаження програмного забезпечення під приводом оглядів або аналітичних завдань.
Дослідники Group-IB виявили новий набір Python-скриптів, названих "CivetQ", як частина інструментарію групи, що розвивається.
Ці скрипти вказують на зміну тактики, спрямованої на фахівців із блокчейну через платформи для пошуку роботи, такі як WWR, Moonlight та Upwork.
Після встановлення початкового контакту хакери зазвичай переводять розмову до Telegram. Там вони обманюють жертв, змушуючи завантажити підроблену програму для відеоконференцій або проект на Node.js, стверджуючи, що це необхідно для технічної співбесіди.
Зростаюча загроза групи Lazarus для криптовалют та недавня експлуатація вразливостей Microsoft Windows
Група Lazarus продовжує залишатися загрозою для криптовалютного сектора, особливо з урахуванням їхньої нещодавньої експлуатації вразливостей Microsoft Windows.
Група вдосконалила свої методи, ускладнивши виявлення шкідливого програмного забезпечення, приховуючи свій шкідливий код новими та більш витонченими способами.
Ця ескалація відображає ширші тенденції, відзначені Федеральним бюро розслідувань (ФБР), яке нещодавно попередило, що північнокорейські хакери націлені на співробітників у сфері децентралізованих фінансів та криптовалют за допомогою високоспеціалізованих кампаній соціальної інженерії.
Ці кампанії спрямовані на проникнення навіть у найзахищеніші системи, представляючи постійну загрозу для організацій, які мають значні крипто активи.
У зв'язаній розробці група Lazarus нібито експлуатувала вразливість нульового дня у Microsoft Windows.
Ця вразливість, відстежувана як CVE-2024-38193 (оцінка CVSS: 7,8), була виявлена як помилка підвищення привілеїв драйверу допоміжних функцій Windows (AFD.sys) для WinSock.
Два дослідники, Луїджіно Камастра і Міланек, виявили цей дефект безпеки, який дозволяв хакерам отримати доступ до обмежених частин комп'ютерних систем, не виявлених.
Microsoft усунула вразливість у рамках щомісячного оновлення Patch Tuesday у вересні 2024 року.