Lazarus Group стала особенно опасной из-за новой атаки Mach-O Man: CertiK
Северокорейская государственная группа Lazarus Group проводит новую кампанию, известную как «Mach-O Man», которая превращает рутинное деловое общение в прямой путь к краже учетных данных и потере данных, предупредили в среду эксперты по безопасности.
Коллектив, совокупный доход которого с 2017 года оценивается в 6,7 миллиарда долларов, нацелен на финтех-, криптовалютных и других ценных руководителей и фирмы, рассказала CoinDesk в среду Натали Ньюсон, старший исследователь безопасности блокчейнов в CertiK.
Только за последние две недели северокорейские хакеры выкачали более 500 миллионов долларов с помощью эксплойтов Drift и KelpDAO в рамках, по всей видимости, продолжительной кампании. Криптоиндустрия должна начать рассматривать Lazarus так же, как банки рассматривают кибер-актеров национальных государств: «как постоянную и хорошо финансируемую угрозу, а не просто очередной заголовок новостей», — сказала она.
«Что делает Lazarus особенно опасным сейчас, так это уровень их активности», — сказал Ньюсон. "KelpDAO, Drift, а теперь и новый комплект вредоносного ПО для macOS — все в течение одного месяца. Это не случайный взлом; это управляемая государством финансовая операция, проводимая в масштабе и скорости, типичных для учреждений".
По ее словам, Северная Корея превратила кражу криптовалюты в прибыльную национальную индустрию, и Mach-O Man — лишь новейший продукт этого процесса. Хотя его создал Лазарус, его используют и другие группы киберпреступников.
"Это модульный комплект вредоносного ПО для macOS, созданный печально известным подразделением Chollima компании Lazarus Group. Он использует собственные двоичные файлы Mach-O, адаптированные для сред Apple, где работают криптовалюты и финансовые технологии", - сказала она.
Ньюсон сказал, что Mach-O Man использует метод доставки, известный как ClickFix. «Важно внести ясность, потому что во многих репортажах смешиваются две разные вещи», — отметила она. ClickFix — это метод социальной инженерии, при котором жертву просят вставить команду в свой терминал, чтобы исправить смоделированную проблему с соединением.
По словам Мауро Элдрича, эксперта по безопасности и основателя компании по анализу угроз BCA Ltd, Lazarus отправляет руководителям «срочные» приглашения на встречу через Telegram для звонка в Zoom, Microsoft Teams или Google Meet.
Ссылка ведет на поддельный, но убедительный веб-сайт, который предлагает им скопировать и вставить одну простую команду в терминал своего Mac, чтобы «исправить проблему с подключением». При этом жертвы получают немедленный доступ к корпоративным системам, SaaS-платформам и финансовым ресурсам. Когда они узнают, что их эксплуатировали, обычно уже слишком поздно.
Существует несколько вариантов этой атаки, рассказал на X исследователь угроз безопасности Владимир С. Уже есть случаи, когда злоумышленники Lazarus захватывали домены проектов децентрализованного финансирования (DeFI) с помощью этого нового вредоносного ПО, заменяя их веб-сайты поддельным сообщением от Cloudflare с просьбой ввести команду для предоставления доступа.
«Эти фальшивые «этапы проверки» помогают жертвам использовать сочетания клавиш, которые запускают вредоносную команду», — сказал Ньюсон из Certik. «Страница выглядит реальной, инструкции кажутся обычными, а жертва сама инициирует действие — поэтому традиционные средства безопасности часто его пропускают».
Большинство жертв этого взлома не осознают, что их безопасность была нарушена, пока ущерб не будет нанесен, после чего вредоносное ПО также уже уничтожит себя.
«Они, вероятно, еще этого не знают», — сказала она. «Если да, то они, вероятно, не смогут определить, какой вариант на них повлиял».