BitMEX предотвращает фишинг-атаку от группы Lazarus из Северной Кореи

BitMEX сообщил о предотвращении попытки фишинговой атаки со стороны группы Lazarus, охарактеризовав данные методы как «несложные», используемые известной группой, связанной с Северной Кореей.

В блоге, опубликованном 30 мая, криптобиржа рассказала, как сотрудник был привлечён через LinkedIn под предлогом сотрудничества в области Web3 NFT.

Злоумышленник попытался заманить свою жертву на выполнение проекта на GitHub, содержащего вредоносный код на их компьютере, тактика, которая, по мнению компании, стала отличительной чертой операций Lazarus.

«Взаимодействие довольно известно, если вы знакомы с тактикой Lazarus», — написала BitMEX, добавив, что команда безопасности быстро идентифицировала обфусцированный JavaScript-код и проследила его к инфраструктуре, ранее связанной с этой группой.

Скорее всего, неудача в операционной безопасности также показала, что один из IP-адресов, связанных с операциями Северной Кореи, находился в городе Цзясин, Китай, примерно в 100 км от Шанхая.

«Общая схема их крупных операций — использование относительно несложных методов, зачастую начинающихся с фишинга, для получения доступа к системам своих целей», — написала BitMEX.

Изучая другие атаки, было отмечено, что хакерские усилия Северной Кореи, вероятно, делятся на несколько подс/groups с различными уровнями технической сложности.

«Это можно наблюдать по множеству задокументированных примеров неумелых практик, исходящих от этих ‘первопроходцев’, которые осуществляют атаки с использованием социального инжиниринга по сравнению с более сложными постэксплуатационными методами, применяемыми в некоторых из известных взломов», — говорится в сообщении.

Группа Lazarus — это общее название, используемое кибербезопасностями и западными разведывательными агентствами для описания нескольких хакерских команд, действующих под руководством северокорейского режима.

В 2024 году Chainalysis приписала 1,34 миллиарда долларов украденной криптовалюты северокорейским актёрам, что составило 61% всех краж в том году по 47 инцидентам, что является рекордным показателем и на 102% больше, чем общий объём украденных средств в 2023 году, равный 660 миллионам долларов.

Но, как предупреждает основатель и генеральный директор Nominis Снир Леви, рост знаний о тактике группы Lazarus не делает их менее опасными.

«Группа Lazarus использует множество методов для кражи криптовалют», — сказал он в интервью Decrypt. «Исходя из жалоб, которые мы собираем от людей, мы можем предположить, что они пытаются обмануть людей ежедневно».

Размер некоторых их уловок был шокирующим.

В феврале хакеры похитили более 1,4 миллиарда долларов с Bybit, чему способствовала группа, обманувшая сотрудника Safe Wallet на выполнение вредоносного кода на их компьютере.

«Даже взлом Bybit начался с социального инжиниринга», — сказал Леви.

Другие кампании включают Radiant Capital, где подрядчик был скомпрометирован через вредоносный PDF-файл, который установил бэкдор.

Методы атаки варьируются от базового фишинга и поддельных предложений о работе до более сложных методов, таких как манипуляции с смарт-контрактами и облачной инфраструктурой.

Раскрытие BitMEX добавляет к растущему корпусу доказательств, документирующих многоуровневые стратегии группы Lazarus. Это следует за другим отчётом в мае от Kraken, в котором компания описала попытку северокорейца устроиться на работу.

Официальные лица США и международные эксперты заявили, что Северная Корея использует кражу криптовалют для финансирования своих программ по разработке оружия, при этом некоторые отчёты предполагают, что это может составлять до половины бюджета режима на разработку ракет.

Отредактировано Себастьяном Синклером.