Ударная группа SecurityScorecard раскрылa текущую кибератаку на разработчиков программного обеспечения, организованную Lazarus Group, хакерским подразделением, спонсируемым северокорейским государством. Эта операция, получившая название Operation 99, была официально объявлена 9 января и представляет собой эволюцию предыдущих кампаний Lazarus, с акцентом на проникновение в среды разработки.
Новая стратегия нападения
В отличие от прошлых операций, которые были нацелены на оборонных подрядчиков, Operation 99 теперь скрытно атакует разработчиков в сфере Web3 и криптовалют. Хакеры выдают себя за рекрутеров на таких платформах, как LinkedIn, чтобы заманивать жертв. Основные методы, используемые в кампании, включают:
- Заманивание через тесты проекта или обзоры кода;
- Обман для клонирования вредоносных репозиториев Git;
- Подключение к серверу управления (C2) и запуск имплантатов для кражи данных.
Риски для разработчиков
Кампания подчеркивает растущий риск для разработчиков в высокорисковых отраслях, где интеллектуальная собственность и цифровые активы являются основными объектами получения финансовой выгоды. Злоумышленники используют многоуровневую систему доставки вредоносного ПО, адаптируясь к различным целям, что позволяет скомпрометировать не только отдельных жертв, но и проекты, в которые они вносят свой вклад.
Сложная инфраструктура C2
Для развертывания полезной нагрузки и контроля скомпрометированных систем используется сложная инфраструктура C2, размещенная в Stark Industries LLC. Хакеры применяют сильно запутанные сценарии на Python для избежания обнаружения.
Функции вредоносного ПО
Среди функций вредоносного ПО можно выделить:
- Отправка системной информации на сервер C2;
- Поиск конфиденциальных файлов;
- Выполнение произвольных команд в зараженных системах;
- Эксфильтрация данных.
Модульный подход к вредоносной программе
Main99, модульная вредоносная программа-загрузчик, отвечает за извлечение и выполнение полезной нагрузки с сервера C2. Она включает в себя функции загрузки полезных данных, просмотра файлов, а также обращения к удаленным серверам для загрузки и запуска дополнительного вредоносного ПО.
Имплантаты и их возможности
Также в рамках кампании используются имплантаты для браузеров, позволяющие извлекать и расшифровывать сохраненные пароли на системах macOS, Linux и Windows. Например, имплантаты MCLIP отслеживают деятельность клавиатур и планшетов обмена, отправляя данные на сервер C2.
Невидимые методы
Злоумышленники прибегают к сложным методам обфускации и многоуровневому шифрованию, чтобы избежать обнаружения и доставить вредоносную информацию. Это подчеркивает необходимость внимательного подхода к безопасности для разработчиков программного обеспечения.
В свете этих угроз важно, чтобы разработчики осознавали риски и принимали меры для защиты своих знаний и цифровых активов.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Кибератака Lazarus Group: Новый риск для Web3-разработчиков".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.