Как сообщают исследователи, недавно была выявлена серия мошеннических сообщений на LinkedIn, отправленных на личные учетные записи. Злоумышленники собирают учетные данные, необходимые для доступа к кошелькам с криптовалютой или счетам в онлайн-банках.
«Деятельность Lazarus Group представляет собой постоянную угрозу: фишинговая кампания, связанная с этой атакой, продолжалась до 2020 года, что повышает потребность в осведомленности и постоянной бдительности среди организаций», — заявили исследователи F-Secure.
Злоумышленники нацелились на системных администраторов неназванной криптовалютной компании с помощью фишингового документа, который был прикреплен к сообщению. По словам исследователей, документ был замаскирован под законное объявление о вакансии в компании, специализирующейся на технологии блокчейн.
Группа lazarus
После того, как пользователь просмотрел вредоносный документ, он получил уведомление, что файл защищен ограничениями Общего регламента защиты данных (GDPR) и что пользователю необходимо включить макросы в Microsoft Word для дальнейшего доступа. Как только цель активирует макросы, запускается встроенный вредоносный код.
Затем он переходит по ссылке bit.ly, созданной в начале мая 2019 года. После дальнейшего изучения ссылки, использованной в фишинг-атаке, исследователи обнаружили, что к ней обращались 73 раза по крайней мере из 19 стран, включая США, Китай и Великобританию.
Затем ссылка «bit.ly» перенаправляет в домен, который выполняет VBScript для выполнения проверок на хосте и сбора дополнительной информации, которая потом отправляется во второй домен управления и контроля (C2). По словам исследователей, это в конечном итоге приводит к загрузке и выполнению сценария PowerShell.
Переход на криптовалюту
Lazarus Group, также известная как Hidden Cobra или APT 38, существует с 2009 года. APT была связана с атакой WannaCry, которая нанесла экономический ущерб в миллионы долларов в 2017 году; банковскими атаками SWIFT; а также атаками на Sony Pictures Entertainment в 2014 году. Lazarus также постоянно развивается: в декабре было замечено, что он подключился к операторам Trickbot, которые запускают мощный троян, нацеленный на банки США и другие. В мае было замечено добавление шпионского ПО для macOS в приложение для двухфакторной аутентификации; а ранее, в июле, он добавил в свой набор инструментов код для считывания карт Magecart.
Совсем недавно компания разработала вредоносную программу (MATA), предназначенную для операционных систем Windows, Linux и MacOS. Кроме того, она связана с программой-вымогателем, которая называется VHD.
Тем не менее, эта последняя кампания показывает, что теперь группа также ищет организации в финансовой и криптовалютной индустрии.
По оценке F-Secure, группа будет продолжать атаки на криптовалютные организации.