Дослідники безпеки з компанії Arctic Wolf викрили масштабну хакерську кампанію, яка цілеспрямовано атакує компанії зі сфери Web3 та криптовалют, здебільшого розташовані у Сполучених Штатах, а також, меншою мірою, у Сінгапурі та Великій Британії. Цю кіберзагрозу реалізує група BlueNoroff, яка є частиною відомого хакерського угруповання Lazarus і, за даними розслідувачів, підтримується державою Північної Кореї.
Детальний аналіз методів атаки
Використання штучного інтелекту та соціальної інженерії
Основною метою зловмисників є отримання постійного доступу до пристроїв жертв, для чого вони використовують складні методи соціальної інженерії, спрямовані на встановлення шкідливого програмного забезпечення. Цікаво, що для створення переконливих образів ключових фігур зі світу Web3, хакери вдаються до допомоги штучного інтелекту: портретні фотографії генеруються за допомогою ChatGPT, а анімовані відео створюються за допомогою Adobe Premiere Pro 2021, що надає кампанії надзвичайної правдоподібності.
Підроблені платформи для комунікації
Для посилення ефекту переконання, зловмисники створили ідентичну копію вебсайту популярного сервісу відеодзвінків Zoom, на якому відтворюються заздалегідь підготовлені відеозаписи, що імітують реальні дзвінки.
Механізм заманювання жертв
Використовуючи платформу Calendly, члени групи BlueNoroff надсилають жертвам запрошення на “зустріч”, іноді призначаючи її на термін до шести місяців наперед, що, ймовірно, покликано створити враження високої зайнятості спікерів. Коли потенційна жертва переходить за наданим посиланням, вона потрапляє на фальшиву сторінку відеодзвінка Zoom, де бачить рухомі зображення, що імітують живе спілкування.
Техніка ClickFix та маніпуляція буфером обміну
Приблизно через вісім секунд після початку імітованої “розмови”, на екрані з’являється повідомлення про нібито застарілу версію SDK та пропонується кнопка “Оновити зараз”. Натискання на цю кнопку активує атаку за технікою ClickFix. Для “вирішення” проблеми користувачеві пропонується скопіювати та вставити команди для діагностики змінних середовища. Однак, оскільки подібні методи вже відомі, справжній код, що копіюється, є легітимним і безпечним. Проте, на підробленому сайті буфер обміну браузера замінює скопійований користувачем код іншим, зловмисним.
Наслідки зараження
Викрадення конфіденційної інформації
Після виконання зловмисного коду на пристрій жертви встановлюється шкідливе програмне забезпечення, яке забезпечує віддалений доступ до системи. Група BlueNoroff використовує цей доступ для викрадення облікових даних, сесійних токенів та іншої конфіденційної інформації, яка потім передається через мережу.
Ці атаки демонструють зростаючу витонченість північнокорейських хакерських груп, які активно використовують передові технології, такі як штучний інтелект та складні методи соціальної інженерії, для досягнення своїх злочинних цілей.
Попередні інциденти
Варто зазначити, що група Lazarus, до якої належить BlueNoroff, неодноразово була помічена у зв’язках із державними структурами та скоюванні масштабних кіберзлочинів. Зокрема, раніше з’являлася інформація про використання російськими хакерами експлойтів уряду США для зламу пристроїв українців.
Рекомендації щодо захисту
Для захисту від подібних атак компаніям, що працюють у сфері Web3 та криптовалют, а також їхнім співробітникам, рекомендується:
- Бути вкрай обережними при переході за посиланнями з невідомих джерел, навіть якщо вони виглядають легітимними.
- Ретельно перевіряти адресу вебсайту перед введенням будь-яких облікових даних.
- Використовувати надійні антивірусні програми та регулярно оновлювати їх.
- Підвищувати рівень обізнаності щодо актуальних кіберзагроз та методів їх розповсюдження.
