Северокорейская группа Лазаря использует фальшивые компании в США для кражи криптовалют у разработчиков

Группа Лазаря из Северной Кореи создала фиктивные компании в США для кражи криптовалютных кошельков разработчиков.

Согласно новому отчету Reuters, группа, действующая через своё подразделение, зарегистрировала фальшивые компании в США как часть кампании по фишингу крипторазработчиков.

Компании Blocknovas LLC и Softglide LLC были зарегистрированы в Нью-Мексико и Нью-Йорке, используя фиктивные личности и адреса. Еще одна сущность, Angeloper Agency, предположительно связана с этой операцией, но не зарегистрирована в США. Схема включала в себя создание поддельных компаний, установление убедительного онлайн-присутствия и размещение вакансий, нацеленных на разработчиков.

Хакеры использовали ложные личности, выдуманные адреса и реальные платформы, такие как LinkedIn и Upwork, чтобы выглядеть легитимно и привлечь разработчиков. Как только соискатели соглашались, их проводили через поддельные собеседования и просили скачать тестовые задания или программное обеспечение.

Эти файлы содержали вредоносное ПО, которое, после выполнения, предоставляло злоумышленникам доступ к системе жертвы, позволяя им извлекать пароли, ключи криптокошельков и другую чувствительную информацию. Русскоязычная группа использовала почти идентичные тактики в предыдущей кампании.

В феврале BleepingComputer сообщил, что группа киберпреступников Crazy Evil уже применяла аналогичные тактики в целенаправленном мошенничестве против соискателей по вакансиям в области криптовалют и Web3.

Подгруппа Crazy Evil создала поддельную компанию под названием ChainSeeker.io, размещая фальшивые объявления на таких платформах, как LinkedIn. Соискатели были направлены на загрузку вредоносного приложения GrassCall, которое устанавливало вредоносное ПО, предназначенное для кражи учетных данных, криптокошельков и чувствительных файлов.

Операция была хорошо скоординирована, использовала клонированные веб-сайты, фальшивые профили и Telegram для распределения вредоносного ПО. ФБР подтверждает связь с Северной Кореей.

Кейси Бест, директор по разведке угроз в Silent Push, заявил, что это один из первых известных случаев, когда северокорейские хакеры создавали юридически зарегистрированные компании в США, чтобы избежать контроля и получить доверие.

Silent Push проследила хакеров обратно до Группы Лазаря и подтвердила множество жертв кампании, идентифицировав Blocknovas как наиболее активную из трех фронтовых компаний, которые они обнаружили.

ФБР изъяло домен Blocknovas в рамках действий по борьбе с северокорейскими киберакторами, которые использовали поддельные объявления о работе для распространения вредоносного ПО.

ФБР заявляет, что продолжает `сосредоточиваться на наложении рисков и последствий, не только на самих актерах КНДР, но и на всех, кто способствует их способности осуществлять эти схемы`.

По словам официального лица ФБР, киберактивности Северной Кореи входят в число самых сложных и постоянных угроз страны. Северная Корея использует российскую инфраструктуру для масштабирования атак.

Для преодоления ограниченного доступа к интернету в стране хакерская группа Северной Кореи использует международную инфраструктуру, особенно российские IP-адреса, размещенные в Хасане и Хабаровске, города с прямыми связями с Северной Кореей, согласно глубокой аналитике от Trend Micro.

Используя VPN, RDP-сессии и прокси-сервисы, такие как Astrill VPN и CCProxy, агенты Лазаря могут управлять атаками, общаться через GitHub и Slack, а также получать доступ к платформам, таким как Upwork и Telegram.

Исследователи из Silent Push выявили семь обучающих видео, записанных аккаунтами, связанными с BlockNovas, как часть операции. Видео описывают, как настроить серверы управления и контроля, украсть пароли из браузеров, загружать украденные данные на Dropbox и взламывать криптокошельки с помощью инструментов, таких как Hashtopolis.

Сотни разработчиков стали жертвами этой схемы, многие из которых неосознанно раскрыли свои чувствительные учетные данные. Некоторые утечки, похоже, переросли в не просто кражу, что может свидетельствовать о том, что Лазарь мог передать доступ другим командам, ориентированным на шпионаж.

Официальные лица США, Южной Кореи и ООН подтвердили Reuters, что хакеры из Северной Кореи развернули тысячи IT-работников за границей, чтобы собрать миллионы долларов для программы ядерных ракет Пхеньяна.