Недавнее расследование аналитической группы Field Effect выявило масштабный и сложный киберинцидент, связанный с канадским провайдером онлайн-гемблинга. По всей видимости, атака была проведена группой APT, известной под названием BlueNoroff, которая связывается с кибератаками, спонсируемыми северокорейским государством. Особое внимание в этом инциденте уделяется применению социальных методов инженерии и вредоносным техническим приемам, направленным на финансовый сектор и пользователей криптовалют.
Как произошла атака
Инцидент был зафиксирован во время законного Zoom-звонка, посвященного криптовалюте, состоявшегося 28 мая 2025 года. В ходе звонка жертве было предложено выполнить запуск скрипта, который был замаскирован под инструмент для восстановления звука в Zoom.
Особенности вредоносного скрипта:
- Загрузка дополнительных компонентов с поддельного домена zoom-tech.us, который внешне очень похож на официальный домен Zoom.
- Первоначально скрипт выполнял безобидные задачи и скрывал вредоносный код под около 10 000 пустых строк, чтобы избежать обнаружения.
- После активации запускался infostealer — вредоносное ПО, направленное на сбор конфиденциальных данных.
Технические детали вредоносного ПО
Запущенный infostealer использовал shell-команды для загрузки дополнительной полезной нагрузки и предполагал, что учетные данные могли храниться в временных файлах для последующей фильтрации. Наиболее критичными элементами инфицирования стали:
- Извлечение конфиденциальной информации, включая файлы связки ключей (keychain) и профили браузера, что происходило еще на ранних этапах установки.
- Использование уникальных идентификаторов, позволяющих точно связывать вредоносное ПО с конкретной целью, что обеспечивало индивидуализированный контроль над дальнейшими командами.
- Активное применение законных системных путей и механизмов внедрения процессов для сокрытия своей деятельности.
- Отслеживание действий браузера с особым вниманием к взаимодействиям, связанным с криптовалютой.
- Применение rsync для архивации и эксфильтрации данных.
Стратегические особенности кампании
Данная атака демонстрирует заметное совершенствование методов финансово мотивированных злоумышленников:
- Высокий уровень операционной зрелости за счет быстрого выполнения цепочки заражения и продуманной социальной инженерии.
- Четкая нацеленность на извлечение криптовалюты и корпоративных конфиденциальных данных.
- Использование методов анти-криминалистической экспертизы и собственной инфраструктуры для обеспечения скрытой коммуникации с вредоносным ПО.
- Продолжительность маскировки и стремление оставаться незамеченными на протяжении длительного периода.
Рекомендации по защите
В условиях роста подобных сложных угроз организациям рекомендуется принимать комплексные меры по снижению рисков:
- Ограничение выполнения несанкционированных скриптов.
- Использование встроенных функций безопасности macOS, таких как Gatekeeper.
- Внедрение решений EDR (Endpoint Detection and Response) для мониторинга вредоносного поведения в реальном времени.
- Установление строгих протоколов для взаимодействия сотрудников с технической поддержкой, чтобы предотвратить атаки с использованием подмены личности (имитации).
- Проведение постоянного аудита системных действий.
- Соблюдение принципов минимизации привилегий пользователями и процессами.
Как показывает анализ инцидента, только комплексный и продуманный подход к безопасности способен противодействовать продвинутым киберугрозам, связанным с целевыми атаками на финансовую инфраструктуру.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Продвинутая атака BlueNoroff через поддельный Zoom на криптобиржу".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.