Группа Lazarus: эволюция тактики хакеров

Группа Lazarus: эволюция тактики хакеров

Группа Lazarus — известная хакерская группировка, связанная с правительством Северной Кореи. Она долгое время атакует компании и частных лиц в сфере криптовалют. Группу связывают со взломом таких платформ, как Phemex, WazirX, Bybit, Stake и других.

Наша команда безопасности часто реагирует на попытки атак, многие из которых используют методы или инфраструктуру, связанные с группой Lazarus.

Основные методы атак

Характерной чертой их крупных операций является использование относительно простых методов, часто начиная с фишинга, чтобы закрепиться в системах своих жертв.

Например, при взломе Bybit группа обманом заставила сотрудника Safe Wallet запустить вредоносный код на своём компьютере, чтобы получить первоначальный доступ. После этого более сложная часть группы продолжила работу, получив доступ к учётной записи AWS Safe и изменив исходный код кошелька, что привело к краже холодных кошельков.

Структура группы

В последние годы группа разделилась на несколько подгрупп, которые не обязательно обладают одинаковой технической изощрённостью. Это можно наблюдать по многочисленным задокументированным примерам плохих практик, исходящих от этих «передовых» групп, которые осуществляют атаки социальной инженерии, по сравнению с более изощрёнными методами пост-эксплойта, применяемыми в некоторых из этих известных взломов.

Атака на сотрудника BitMEX

Недавно сотруднику BitMEX предложили сотрудничество по проекту «NFT Marketplace» через LinkedIn. Этот предлог был похож на другие атаки, распространённые в этой отрасли, поэтому сотрудник заподозрил, что это попытка обманом заставить его запустить вредоносный код на своём устройстве. Он предупредил команду безопасности, которая провела расследование, чтобы понять, как работает эта кампания и как от неё защититься.

Анализ кода

Сотруднику было предложено запустить проект в частном репозитории GitHub, который содержал код для веб-сайта Next.js/React. Цель состояла в том, чтобы заставить жертву запустить проект, включающий вредоносный код, на своём компьютере. После нескольких минут изучения репозитория (просто поиска «eval»), мы обнаружили несколько подозрительных фрагментов кода:

Первый вызов функции eval был закомментирован, что позволяет предположить, что этот код использовался в предыдущей кампании или был более старой версией вредоносного кода, который распространялся.

Второй вызов eval не был закомментирован. Код здесь отправляет HTTP-запрос к определённому домену, который ранее был приписан группе Lazarus компанией Palo Alto’s Unit 42.

Инструменты для анализа

Для анализа кода мы использовали инструмент webcrack, который позволяет деобфусцировать код JavaScript. Это дало нам немного более удобочитаемую версию кода.

Результаты анализа

Этот файл JavaScript выглядел как результат объединения трёх разных скриптов. Мы видим несколько блоков кода, которые разделяют различные этапы вредоносного ПО.

Вторая часть скрипта содержала строки, которые были похожи на то, что мы ожидаем от программы-вора учётных ...

Не является инвестиционной рекомендацией.

Читать далее