Группировка Lazarus застигнута за довольно топорными, но эффективными фишинговыми атаками на сисадминов криптовалютных организаций.

Это всё GDRP. Честно-честно

Северокорейская кибергруппировка Lazarus переключилась с традиционных финансовых учреждений на криптобиржи, считают эксперты компании F-Secure.

По их данным, участники Lazarus стоят за рассылкой системным администраторам криптобирж фальшивых предложений о работе через Linkedin.

Расследование нынешней кампании, в частности, началось после фишинговой атаки, в ходе которой системный администратор неназванной криптовалютной организации получил в личном аккаунте на Linkedin подложное предложение о работе в другой компании.

К сообщению прилагался вредоносный документ Word. При попытке открыть его пользователю вывелось сообщения о том, что документ «находится под защитой GDRP» (Генерального регламента ЕС по защите персональных данных), поэтому для его чтения якобы требуется «включить содержимое», т.е. снять защиту и активировать макросы.

Естественно, сразу после отключения защиты должны были срабатывать макросы, которые скачивали вредоносные файлы на компьютер жертвы.

В данном конкретном случае, как сказано в отчёте F-Secure, документ на машине потенциальной жертвы был изменён так, чтобы удалять всякий вредоносный контент после его исполнения, эксперты компании установили, что исходный документ и вредосные компоненты были идентичны или очень похожи на те, что ранее уже попадали на VirusTotal, — об этом свидетельствовали метаданные и последствия запуска, сохранившиеся в базе данных System Resource Usage Monitor.

Собрать птицу по перьям

Исследователи констатировали значительное сходство между вредоносами, выявленными в данном случае, и инструментами, которые «Лаборатория Касперского» идентифицировала и отождествила с Lazarus/APT38 ещё в 2016 г.

Как отметили эксперты F-Secure, члены Lazarus приложили немало усилий, чтобы обойти защиту в атакованных организациях: была предпринята попытка деактивировать антивирус, а также устранить все следы присутствия вредоносных «имплантов», однако их всё равно удалось выявить и проанализировать.

По данным F-Secure, попытались атаковать таким образом «организации в криптовалютной вертикали» в Великобритании, США, Нидерландах, Германии, Сингапуре, Японии и как минимум ещё в восьми странах. Работали адресно: фальшивые предложения о работе получали отнюдь не случайные люди.

Группировка Lazarus давно известна атаками на финансовые учреждения во всём мире; в течение длительного времени они пытались выводить финансовые средства в Северную Корею, чья экономика по понятным причинам находится не в лучшем состоянии.

Источник: safe.cnews.ru