Группировка Lazarus застигнута за довольно топорными, но эффективными фишинговыми атаками на сисадминов криптовалютных организаций.
Это всё GDRP. Честно-честно
Северокорейская кибергруппировка Lazarus переключилась с традиционных финансовых учреждений на криптобиржи, считают эксперты компании F-Secure.
По их данным, участники Lazarus стоят за рассылкой системным администраторам криптобирж фальшивых предложений о работе через Linkedin.
Расследование нынешней кампании, в частности, началось после фишинговой атаки, в ходе которой системный администратор неназванной криптовалютной организации получил в личном аккаунте на Linkedin подложное предложение о работе в другой компании.
К сообщению прилагался вредоносный документ Word. При попытке открыть его пользователю вывелось сообщения о том, что документ «находится под защитой GDRP» (Генерального регламента ЕС по защите персональных данных), поэтому для его чтения якобы требуется «включить содержимое», т.е. снять защиту и активировать макросы.
Естественно, сразу после отключения защиты должны были срабатывать макросы, которые скачивали вредоносные файлы на компьютер жертвы.
В данном конкретном случае, как сказано в отчёте F-Secure, документ на машине потенциальной жертвы был изменён так, чтобы удалять всякий вредоносный контент после его исполнения, эксперты компании установили, что исходный документ и вредосные компоненты были идентичны или очень похожи на те, что ранее уже попадали на VirusTotal, - об этом свидетельствовали метаданные и последствия запуска, сохранившиеся в базе данных System Resource Usage Monitor.
Собрать птицу по перьям
Исследователи констатировали значительное сходство между вредоносами, выявленными в данном случае, и инструментами, которые «Лаборатория Касперского» идентифицировала и отождествила с Lazarus/APT38 ещё в 2016 г.
Как отметили эксперты F-Secure, члены Lazarus приложили немало усилий, чтобы обойти защиту в атакованных организациях: была предпринята попытка деактивировать антивирус, а также устранить все следы присутствия вредоносных «имплантов», однако их всё равно удалось выявить и проанализировать.
По данным F-Secure, попытались атаковать таким образом «организации в криптовалютной вертикали» в Великобритании, США, Нидерландах, Германии, Сингапуре, Японии и как минимум ещё в восьми странах. Работали адресно: фальшивые предложения о работе получали отнюдь не случайные люди.
Группировка Lazarus давно известна атаками на финансовые учреждения во всём мире; в течение длительного времени они пытались выводить финансовые средства в Северную Корею, чья экономика по понятным причинам находится не в лучшем состоянии.
«Кража и использование криптовалют, вероятно, рассматривается командирами Lazarus как более перспективное направление деятельности, - полагает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - Криптовалютные транзакции во многих случаях сложнее отследить и откатить, особенно в тех случаях, когда анонимизация является неотъемлемым атрибутом криптовалюты. А это открывает широкие возможности для отмывания реальных финансовых средств. Администраторам криптобирж следует задуматься о том, надёжна ли их персональная киберзащита. Впрочем, пока не ясно, насколько успешны были атаки Lazarus: следы замести им не удалось, и не факт, что они уже реально что-то смогли умыкнуть. И, к слову, не очень понятно, как системный администратор мог попасться на такую дешёвую уловку как упомянутая «защита GDRP» - шансов на успех у подобной «социальной инженерии» очень немного».
Это всё GDRP. Честно-честно
Северокорейская кибергруппировка Lazarus переключилась с традиционных финансовых учреждений на криптобиржи, считают эксперты компании F-Secure.
По их данным, участники Lazarus стоят за рассылкой системным администраторам криптобирж фальшивых предложений о работе через Linkedin.
Расследование нынешней кампании, в частности, началось после фишинговой атаки, в ходе которой системный администратор неназванной криптовалютной организации получил в личном аккаунте на Linkedin подложное предложение о работе в другой компании.
К сообщению прилагался вредоносный документ Word. При попытке открыть его пользователю вывелось сообщения о том, что документ «находится под защитой GDRP» (Генерального регламента ЕС по защите персональных данных), поэтому для его чтения якобы требуется «включить содержимое», т.е. снять защиту и активировать макросы.
Естественно, сразу после отключения защиты должны были срабатывать макросы, которые скачивали вредоносные файлы на компьютер жертвы.
В данном конкретном случае, как сказано в отчёте F-Secure, документ на машине потенциальной жертвы был изменён так, чтобы удалять всякий вредоносный контент после его исполнения, эксперты компании установили, что исходный документ и вредосные компоненты были идентичны или очень похожи на те, что ранее уже попадали на VirusTotal, - об этом свидетельствовали метаданные и последствия запуска, сохранившиеся в базе данных System Resource Usage Monitor.
Собрать птицу по перьям
Исследователи констатировали значительное сходство между вредоносами, выявленными в данном случае, и инструментами, которые «Лаборатория Касперского» идентифицировала и отождествила с Lazarus/APT38 ещё в 2016 г.
Как отметили эксперты F-Secure, члены Lazarus приложили немало усилий, чтобы обойти защиту в атакованных организациях: была предпринята попытка деактивировать антивирус, а также устранить все следы присутствия вредоносных «имплантов», однако их всё равно удалось выявить и проанализировать.
По данным F-Secure, попытались атаковать таким образом «организации в криптовалютной вертикали» в Великобритании, США, Нидерландах, Германии, Сингапуре, Японии и как минимум ещё в восьми странах. Работали адресно: фальшивые предложения о работе получали отнюдь не случайные люди.
Группировка Lazarus давно известна атаками на финансовые учреждения во всём мире; в течение длительного времени они пытались выводить финансовые средства в Северную Корею, чья экономика по понятным причинам находится не в лучшем состоянии.
«Кража и использование криптовалют, вероятно, рассматривается командирами Lazarus как более перспективное направление деятельности, - полагает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - Криптовалютные транзакции во многих случаях сложнее отследить и откатить, особенно в тех случаях, когда анонимизация является неотъемлемым атрибутом криптовалюты. А это открывает широкие возможности для отмывания реальных финансовых средств. Администраторам криптобирж следует задуматься о том, надёжна ли их персональная киберзащита. Впрочем, пока не ясно, насколько успешны были атаки Lazarus: следы замести им не удалось, и не факт, что они уже реально что-то смогли умыкнуть. И, к слову, не очень понятно, как системный администратор мог попасться на такую дешёвую уловку как упомянутая «защита GDRP» - шансов на успех у подобной «социальной инженерии» очень немного».
