Группа, связанная с Северной Кореей и известная как BlueNoroff, провела атаку на сотрудника из сферы Web3, применив обманные Zoom-встречи с поддельными видео известных руководителей компании, чтобы заставить его установить вредоносное ПО на Mac с macOS.
Эксперты из Huntress рассказали, что жертвой стало сотрудник криптовалютного фонда, получивший сообщение в Telegram от незнакомца.
«Отправитель попросил назначить время для звонка и прислал ссылку на встречу через Calendly. При переходе по ссылке из Google Meet пользователю открывался поддельный домен Zoom, полностью контролируемый злоумышленниками», — объяснили специалисты безопасности Алден Шмидт, Стюарт Эшенбреннер и Джонатан Семон.
Через несколько недель сотрудник подключился к групповому Zoom-звонку, где вместе с настоящими внешними контактами появились поддельные видео известных руководителей компании.
Когда жертва пожаловалась, что микрофон не работает, «участники» посоветовали скачать расширение Zoom для исправления проблемы. Ссылка на расширение была отправлена в Telegram и загружала AppleScript под названием "zoom_sdk_support.scpt".
Этот скрипт сначала открывал официальную страницу Zoom SDK, но при этом тайно скачивал следующий этап вредоносного ПО с удалённого сервера ("support[.]us05web-zoom[.]biz") и запускал shell-скрипт.
Скрипт отключал запись командной истории bash, проверял наличие Rosetta 2 на заражённом Mac и, если её не было, устанавливал Rosetta — технологию, позволяющую Apple Silicon запускать программы для процессоров Intel (x86_64).
Затем скрипт создавал скрытый файл ".pwd" и загружал вредоносный бинарник с адреса "web071zoom[.]us/fix/audio-fv/7217417464" в папку "/tmp/icloud_helper". Аналогично скачивался ещё один неизвестный payload с "web071zoom[.]us/fix/audio-tr/7217417464".
Кроме того, shell-скрипт запрашивал у пользователя системный пароль и очищал историю команд, чтобы скрыть следы. В ходе расследования Huntress нашли восемь уникальных вредоносных файлов на устройстве жертвы —
- Telegram 2 — бинарный файл на Nim, запускающий основной бэкдор;
- Root Troy V4 — многофункциональный бэкдор на Go, выполняющий удалённые AppleScript, shell-команды, загружающий и запускающий дополнительное вредоносное ПО;
- InjectWithDyld — загрузчик на C++, который загружает Root Troy V4 и внедряет два новых компонента: безопасное Swift-приложение для внедрения в процессы и имплант на Nim, позволяющий оператору асинхронно отдавать команды и получать ответы;
- XScreen — кейлоггер на Objective-C, отслеживающий нажатия клавиш, буфер обмена, делающий скриншоты и отправляющий данные на командный сервер;
- CryptoBot — инструмент для кражи информации на Go, собирающий файлы, связанные с криптовалютами;
- NetChk — почти пустой бинарник, бесконечно генерирующий случайные числа.
BlueNoroff, известная также под названиями Alluring Pisces, APT38, Black Alicanto, Copernicium, Nickel Gladstone, Stardust Chollima и TA444 — это подразделение группировки Lazarus Group, которое традиционно атакует финансовые организации, криптобизнес и банкоматы с целью пополнить бюджет Северной Кореи.
Эта группа наиболее известна серией краж под названием TraderTraitor, в рамках которой злоумышленники нападают на сотрудников компаний, связанных с блокчейном, через вредоносные приложения для криптоторговли. Вот самые громкие случаи — взлом Bybit в феврале 2025 года и Axie Infinity в марте 2022-го.
«Удалённые сотрудники, особенно на ключевых позициях, часто становятся главными мишенями групп вроде TA444», — предупреждают в Huntress. — «Очень важно обучать персонал распознавать простые приемы социальной инженерии, которые запускают атаки через программы для видеоконференций».
По последнему исследованию DTEX, структура северокорейских хакеров, вероятно, разделилась на две ветви — TraderTraitor (известный также как Jade Sleet и UNC4899) и CryptoCore (известный под именами CageyChameleon, CryptoMimic, DangerousPassword, LeeryTurtle и Sapphire Sleet). Обе продолжают заниматься финансовыми кражами в интересах режима.
«TraderTraitor — самая активная из DPRK-групп по краже криптовалюты, в ней сохранились лучшие специалисты APT38», — отметили в DTEX. — «CryptoCore существует с 2018 года и, скорее всего, отделилась вместе с TraderTraitor».
К тому же прием с темой проблем «с аудио» для обмана жертвы и установки вредоносного ПО напоминает предыдущую кампанию северокорейцев Contagious Interview — с ложными уведомлениями ClickFix и трояном GolangGhost.
Новая версия — ClickFake Interview — создает фальшивые вакансии и убеждает кандидатов выполнить вредоносные команды якобы для решения проблем с камерами и микрофонами через поддельный сайт для тестирования при приёме на работу.
По данным Cisco Talos, эти мультиплатформенные атаки развились и теперь используют Python-версию трояна GolangGhost под кодовым названием PylangGhost. Фальшивые сайты маскируются под известные финансовые компании — Archblock, Coinbase, Robinhood и Uniswap, а жертвы в основном из Индии.
«В последних кампаниях группа Famous Chollima — вероятно, объединяющая несколько команд — использует Python-версию трояна для атак на Windows, одновременно применяя Go-версию для macOS. А Linux в этих атаках не задействован», — рассказал исследователь Ваня Свяцер.
PylangGhost, как и Go-версия, связывается с командным сервером C2 для получения инструкций: удалённого управления, скачивания и запуска файлов, а также кражи куки и данных из более 80 расширений браузеров, включая менеджеры паролей и криптокошельки.
«Пока неизвестно, зачем использовались две версии на разных языках программирования и какая из них появилась первой», — отмечают в Talos. — «Структура, имена функций и стилистика совпадают настолько, что разработчики либо тесно сотрудничали, либо это один и тот же человек».
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru