Анализ атаки BlueNoroff на Web3: скрытые угрозы через Zoom-домены

Расследование Huntress выявило изощренную атаку BlueNoroff на Web3-организацию

Недавнее расследование исследовательской группы Huntress проливает свет на новую целенаправленную атаку, осуществленную группой BlueNoroff — финансово мотивированной фракцией северокорейской Lazarus Group. Мишенью злоумышленников стала организация в сфере Web3 и криптовалют, оказавшаяся в центре масштабной кампании с использованием сложных методов проникновения и сокрытия.

Методы атаки и центр вторжения

В атаке применялись разнообразные техники, включая:

• фишинговые приманки;
• установку бэкдоров для поддержания скрытого контроля;
• распространение вредоносного расширения Zoom через Telegram.

Ключевым элементом атаки стал домен support.us05web-zoom.biz, на котором размещалась вредоносная версия расширения Zoom. Расширение было отправлено жертве после участия в организованном собрании Zoom, что обеспечивало высокую вероятность успешной компрометации.

Анализ DNS и тактика маскировки

Интересным открытием в ходе расследования стала необычная закономерность в истории DNS домена support.us05web-zoom.biz. Она преимущественно связана с общедоступным DNS-сервером Google (8.8.8.8). Использование данного IP-адреса — известного и широко признанного безопасным — является распространённой тактикой киберпреступников. Она позволяет значительно усложнить обнаружение вредоносной активности.

Расследование предполагает, что злоумышленники могли на короткое время использовать вредоносный IP-адрес для домена, после чего вновь возвращались к «безопасным» адресам. Такая смена IP-адресов соответствует классической практике оперативной секретности в кибератаках.

Расширение инфраструктуры и выявленные домены

Используя продвинутые инструменты анализа DNS, команда Huntress расширила поиск и выявила дополнительные домены, настроенные аналогичным образом. Особое внимание было уделено доменам верхнего уровня .biz, связанным с Zoom.

Основные результаты:

• Всего найдено 125 релевантных доменов;
• Отфильтровано по ключевым словам: масштабирование, знакомство, веб, поддержка;
• Собрано 36 индикаторов компрометации для проекта BlueNoroff;
• Поддомен www.us05web-zoom.biz был связан с IP-адресом 23.254.247.53, ранее замеченным в активности КНДР;
• Обнаружены сотни дополнительных доменов и поддоменов, вероятно связанных с кампанией BlueNoroff;
• Всплеск активности зарегистрирован в период с ноября 2024 по июнь 2025 года, что указывает на систематическое возобновление атак.

Значение расследования для кибербезопасности

Это расследование становится наглядным примером того, насколько комплексным и изменчивым может быть ландшафт современных кибератак. Особенно это касается действий спонсируемых государством групп, таких как BlueNoroff.

Способность заблаговременно выявлять и отслеживать подобные кампании играют ключевую роль в повышении эффективности стратегий защиты, особенно для организаций в уязвимых секторах, включая криптовалюту и Web3. Раннее обнаружение таких угроз позволяет минимизировать потенциальные риски и предотвращать масштабные финансовые потери.

Как подчеркнули специалисты Huntress, «тщательный и систематический подход к анализу DNS и доменных инфраструктур является важнейшим элементом в борьбе с целевыми и скрытыми атаками со стороны современных киберпреступных групп».

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Анализ атаки BlueNoroff на Web3: скрытые угрозы через Zoom-домены".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.