Исследование Proofpoint: Киберпреступная группировка Lazarus нацелилась на пользователей криптовалюты

Исследование Proofpoint: Киберпреступная группировка Lazarus нацелилась на пользователей криптовалюты

Исследователи безопасности из Proofpoint обнаружили новую вредоносную кампанию против владельцев криптовалюты. По мнению экспертов, за атаками стоит киберпреступная группировка Lazarus, предположительно связанная с правительством КНДР. Именно ей приписывается резонансная атака на Sony Pictures, крупнейшее в истории киберограбление Центробанка Бангладеш и атака с использованием вымогательского ПО WannaCry. Кроме того, Lazarus обвиняется в похищении миллионов долларов в биткойнах у южнокорейской биржи Youbit, потерявшей в результате атаки 17% своих активов и вынужденной объявить себя банкротом.

 В новом отчете Proofpoint выявлена связь между Lazarus и целым рядом многоэтапных кибератак на пользователей криптовалют и PoS-терминалы. Как пояснили эксперты, киберпреступники сосредоточились на атаках с целью получения прибыли, используя небывалый интерес к криптовалюте и рост ее стоимости. В их распоряжении имеются мощные инструменты, закладки и эксплоиты. Кроме того, группировка непрерывно занята разработкой новых средств для осуществления кибератак.

 В ходе анализа различных целенаправленных фишинговых писем, разосланных в рамках разных кампаний и использующих разные векторы атак, исследователи обнаружили новую закладку на базе PowerShell под названием PowerRatankba. Используемое PowerRatankba шифрование, методы обфускации, фишинговые приемы и C&C-серверы напоминают оригинальную закладку Ratankba из арсенала Lazarus.

 В настоящее время существует как минимум два варианта PowerRatankba. Закладка действует только на первой стадии многоэтапной атаки. Ее предназначение – загрузка полнофункционального бэкдора (в данном случае Gh0st RAT) исключительно на системы организаций, компаний и частных пользователей, владеющих криптовалютой. Если на системах с PowerRatankba связанные с криптовалютой приложения отсутствуют, второй этап атаки не запускается.

 После загрузки и установки на атакуемой системе Gh0st RAT похищает учетные данные от криптовалютных кошельков. Ни Gh0st RAT, ни PowerRatankba не эксплуатируют какие-либо уязвимости в ПО. Вместо этого Lazarus использует техники смешанного программирования.

 По словам исследователей, на сегодняшний день известно несколько успешных взломов группировкой крупных криптовалютных бирж и компаний. С учетом текущего курса, эти взломы принесли ей порядка $100 млн.

 Помимо криптовалюты, киберпреступники похищают данные банковских карт из используемых в Южной Корее PoS-терминалов. В этих целях они разработали вредоносное ПО RatankbaPOS. Поскольку RatankbaPOS и PowerRatankba используют один и тот же C&C-сервер, эксперты считают, что за RatankbaPOS также стоит Lazarus.

Securitylab