Алло, мы ищем таланты (и пароли). Хакеры устроили самый дорогой спектакль в Zoom

Северокорейская группировка UNC1069 заметно усилила атаки на криптовалютные и финтех-компании и теперь всё чаще использует поддельные видеозвонки и приёмы с применением нейросетей. В одном из инцидентов злоумышленники выдали себя за руководителей криптобизнеса, устроили фальшивую встречу в Zoom и убедили жертву собственноручно запустить вредоносные команды на своём устройстве. В результате на систему было загружено сразу несколько новых вредоносных программ, созданных специально для кражи учётных данных и данных браузера.

Операцию изучили специалисты компании Mandiant. По их данным, за атакой стоит группа UNC1069, связанная с КНДР и действующая как минимум с 2018 года. Обычно она нацелена на криптовалютные стартапы, разработчиков программного обеспечения и инвестиционные фонды. В новой кампании использовался обновлённый набор инструментов и сразу семь семейств вредоносных программ. Среди них — ранее не встречавшиеся SILENCELIFT, DEEPBREATH и CHROMEPUSH, предназначенные для скрытого сбора информации с устройств.

Атака началась с сообщения в Telegram от имени руководителя известной криптовалютной компании. Его учётная запись к тому моменту уже была захвачена. После переписки жертве отправили ссылку на сервис планирования встреч и пригласили на получасовой звонок. Ссылка вела на поддельную страницу Zoom, размещённую на инфраструктуре злоумышленников. Во время разговора участнику показали видео с якобы другим директором криптокомпании. По описанию пострадавшего, ролик выглядел как правдоподобная подделка, созданная с помощью нейросети.

Далее участнику сообщили о проблемах со звуком и предложили «исправить» их с помощью диагностических команд. Это известный приём ClickFix, когда пользователя убеждают самостоятельно выполнить в системе набор инструкций. Среди безобидных строк была скрыта команда, которая запускала цепочку заражения. Подготовлены были варианты и для macOS, и для Windows.

После запуска команд на устройстве с macOS последовательно установились несколько модулей. Первый открывал удалённый доступ и загружал дополнительные компоненты. Далее подключались загрузчики и скрытые управляющие модули, которые обеспечивали постоянное присутствие в системе и подгружали новые файлы из сети. Отдельные части цепочки были написаны на разных языках программирования, что говорит о модульном подходе к разработке.

Особый интерес вызвали два инструмента для кражи данных. Модуль DEEPBREATH обходил встроенную защиту macOS, связанную с контролем доступа к личным файлам. Он вносил изменения в базу разрешений и получал доступ к документам, загрузкам и рабочему столу. После этого программа собирала пароли из связки ключей, данные браузеров Chrome, Brave и Edge, информацию из Telegram и заметок. Архив с собранными данными отправлялся на удалённый сервер.

Второй модуль, CHROMEPUSH, устанавливался как расширение браузера и маскировался под дополнение для офлайн-редактирования документов Google. Он перехватывал нажатия клавиш, логины, пароли и файлы cookie, а затем передавал их злоумышленникам. Для закрепления в системе также использовались служебные процессы автозапуска.

Отдельный компонент SILENCELIFT работал как лёгкий скрытый модуль управления и регулярно отправлял сведения о системе на управляющий сервер. При запуске с правами администратора он мог вмешиваться в работу Telegram.

В ходе анализа также установлено, что участники UNC1069 активно применяют инструменты на базе нейросетей. Они используют их для подготовки приманок, редактирования изображений и видео и разработки вредоносных программ. Ранее специалисты подразделения разведки угроз Google отмечали переход группы от простого применения нейросетей для повышения продуктивности к их прямому использованию в реальных атаках. Исследователи подчёркивают, что в этом случае злоумышленники загрузили необычно большое количество инструментов на одно устройство. Это говорит о целенаправленной попытке собрать максимум данных, которые можно использовать как для кражи криптоактивов, так и для будущих атак с подменой личности и доверенных контактов.