Криптограбители из Северной Кореи снова пополняют бюджет страны путем кражи криптовалюты

Криптограбители из Северной Кореи снова пополняют бюджет страны путем кражи криптовалюты

Хакеры улучшают техники атак, чтобы еще легче обходить системы защиты.

Согласно новому отчету ИБ-компании Volexity, северокорейская хакерская группа Lazarus проводит новую кампанию, распространяя поддельные криптовалютные приложения под вымышленным брендом «BloxHolder» для установки вредоносного ПО AppleJeus, чтобы получить начальный доступ к сетям и украсть криптоактивы.

Новая кампания Lazarus началась в июне 2022 года и действовала как минимум до октября 2022 года. В этой кампании злоумышленники использовали домен «bloxholder[.]com», клон автоматизированной платформы для торговли криптовалютой HaasOnline.

Настоящий (слева) и клонированный сайт (справа)

Фишинговый сайт распространял MSI-установщик Windows, который выдавал себя за приложение BloxHolder. На самом деле это было северокорейское вредоносное ПО для кражи криптовалюты AppleJeus , которое доставляется под видом легитимного приложения для торговли биткоином QT Bitcoin Trader.

После установки через цепочку заражения MSI AppleJeus создает запланированную задачу и помещает дополнительные файлы в папку «%APPDATA%\Roaming\Bloxholder\». Затем вредоносное ПО отправляет на сервер управления и контроля (C&C) через POST-запрос следующую информацию о системе:

  • MAC-адрес;
  • имя компьютера;
  • версия ОС.
Так вредоносное ПО определяет в какой среде оно работает – на виртуальной машине или в песочнице.

Также в недавних кампаниях группировка использует технику DLL Sideloading для установки вредоносного ПО из доверенного процесса, избегая обнаружения AV-систем.

Цепочка атаки DLL Sideloading

Исследователи Volexity заявили, что причина, по которой Lazarus выбрала технику DLL Sideloading неясна, но может заключаться в том, чтобы препятствовать анализу вредоносного ПО.

Еще одна новая особенность последних образцов AppleJeus заключается в том, что все его строки и вызовы API теперь запутываются с помощью специального алгоритма, что делает их более незаметными для продуктов безопасности.


Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!