Группировка Lazarus украла с криптовалютной биржи почти 2 миллиона долларов

16:40 - 4.10.2018


4 октября, Fineko/abc.az. Исследователи из «Лаборатории Касперского» обнаружили, что известная группировка Lazarus вновь ведёт активную деятельность.

Эксперты зафиксировали вредоносную атаку, целью которой стала криптовалютная биржа CoinIS в Южной Корее, лишившаяся около 2 миллионов долларов США из-за действий Lazarus. В сеть жертвы злоумышленники проникли с помощью заражённого ПО для торговли криптовалютами Celas Trade Pro. Примечательно, что атакующие использовали две версии зловреда: для Windows и для macOS. И это первый известный образец macOS-вредоноса в арсенале Lazarus.

Аналитики «Лаборатории Касперского» выяснили, что успеху атаки сопутствовал человеческий фактор. Ничего не подозревающий сотрудник компании-жертвы скачал стороннее приложение с сайта разработчика ПО для торговли криптовалютами – компании Celas Limited. Сайт при этом выглядел вполне легитимно.

Код приложения, оказавшегося вредоносным, в целом не вызывает подозрений, за исключением одного компонента, отвечающего за обновления. В легитимном ПО подобные модули используются для загрузки новых версий программы. Однако в этом случае компонент применялся для «разведки» и сбора информации: программа собирала базовые данные о компьютере, отправляла их злоумышленникам, и если те решали, что жертва им интересна, загружала вредоносный код под видом обновления. Зловред, попадавший на заражённые компьютеры, оказался хорошо известен исследователям: это троянец Fallchill – старый инструмент Lazarus, к которому группировка недавно решила вернуться. Именно этот факт и позволил аналитикам сделать предположение, кто стоит за атакой.

После установки Fallchill предоставляет атакующим практически неограниченный доступ к компьютеру жертвы, позволяя им красть ценную финансовую информацию или развёртывать дополнительные инструменты в зависимости от цели и обстоятельств. Ситуация осложняется ещё и тем, что в новой атаке злоумышленники решили не ограничиваться только привычной платформой Windows и создали идентичную версию троянца для операционной системы macOS, которая традиционно считалась менее подверженной кибератакам (по сравнению с Windows).

Внимание исследователей также привлекла ещё одна особенность атаки, получившей название AppleJeus. На первый взгляд операция выглядит как атака на поставщика (когда намеренно заражаются сторонние организации, предоставляющие потенциальным жертвам услуги или продукты), но в действительности она, скорее всего, ей не является. Разработчик ПО для торговли криптовалютами, который был выбран для доставки зловреда на компьютеры жертв, имеет действующий цифровой сертификат для подписи своих программ, а его регистрационные доменные записи выглядят легитимно. Однако, изучив публично доступную информацию, эксперты «Лаборатории Касперского» не смогли идентифицировать ни одну легальную организацию, которая была бы размещена по адресу, указанному в информации о сертификате.

«Мы заметили растущий интерес Lazarus к рынкам криптовалют в начале 2017 года, когда группировка установила на одном из своих серверов ПО для майнинга Monero. С тех пор их неоднократно замечали в атаках на криптовалютные биржи и другие финансовые организации. На этот раз они разработали отдельное ПО для заражения пользователей macOS, расширив таким образом круг потенциальных жертв, и, скорее всего, создали целую поддельную софтверную компанию и поддельное ПО, чтобы обойти радары защитных решений. Всё это говорит о том, что они видят в операции AppleJeus потенциально большую выгоду, и в ближайшем будущем подобных атак может стать больше. А для пользователей macOS это должно стать своего рода сигналом тревоги, особенно если они используют свои Mac-компьютеры для операций с криптовалютами», – отметил Сеонгсу Парк (Seongsu Park), ведущий антивирусный эксперт «Лаборатории Касперского».

Вся лента