Аналитики Silent Push сообщили о своем успешном внедрении в инфраструктуру, используемую северокорейской группой Lazarus APT, известной своей деятельностью в области киберопераций с 2009 года. Это открытие стало особенно актуальным на фоне недавней кражи криптовалюты из Bybit на сумму 1,4 миллиарда долларов, которая произошла всего через несколько часов после регистрации домена bybit-assessment.com.
Домен и уловки группы Lazarus
Домен bybit-assessment.com использовал адрес электронной почты trevorgreer9312@gmail.com, который ранее ассоциировался с активностью группы Lazarus. В журналах исследования обнаружено имя «Лазаро», что также указывает на связь с этой преступной группой.
Инфраструктура и методы работы
Аналитики идентифицировали ряд ключевых аспектов, связанных с деятельностью Lazarus Group:
- Использование 27 различных IP-адресов, связанных с Astrill VPN для настройки их систем;
- Мошеннические собеседования при приеме на работу через платформы, такие как LinkedIn, для распространения вредоносного ПО;
- Предыдущее использование доменов, связанных с мошенничеством, таких как api.nvidia-release.org.
Анализ инцидентов и предупреждения
Недавние фишинговые кампании, нацеленные на криптосообщество, подчеркивают изменяющуюся тактику группы. Так, домен bybit-assessment.com был зарегистрирован перед кражей, что свидетельствует о стратегическом планировании.
IP-адрес 91.222.173.30, связанный с доменом, был ранее подтвержден в нескольких случаях вредоносных действий, включая крипто-мошенничество. При этом, согласно анализу, скомпрометированные конфигурации использовались для оптимизации фишинговых стратегий.
Фишинговые стратегии и методы заманивания
Как показали предыдущие отчеты, мошенничество с трудоустройством является распространённым методом работы северокорейских хакеров. Жертвам предлагали загрузить вредоносные скрипты, маскирующиеся под законные обновления, что создавало дополнительные риски.
Рекомендации и меры безопасности
Silent Push представила подборку индикаторов компрометации (IOFAC), касающихся данного расследования, включающую активные домены, связанные с инфраструктурой Lazarus Group. Эти ресурсы помогут сообществу кибербезопасности выявлять и блокировать потенциальные угрозы.
Постоянный мониторинг и сотрудничество с правоохранительными органами будут ключевыми факторами в снижении рисков, связанных с деятельностью этого государства-спонсируемого хакера.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Лазарь: новые угрозы от северокорейской хакерской группы".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.