Chcesz dorobić się na krypto, a wpadasz w pułapkę hakerów. Uważaj w co klikasz!

Ataki hakerów sponsorowanych przez… Koreę Północną

Osoby zajmujące się badaniem cyberbezpieczeństwa w firmie Elastic wykryły liczne próby ataków hakerskich. Odpowiedzialna jest za nie grupa hakerska sponsorowana przez Koreę Północną. Cała akcja miała na celu zainfekowanie komputerów osób zajmujących się blockchainem, należących do nieujawnionej jeszcze firmy, skupiającej się na wymianie kryptowalut. Narzędziem hakerów była nowa forma złośliwego oprogramowania — i, co ciekawe, dla systemu macOS.

Atak hakerów wykorzystuje dość niestandardowe i raczej niespotykane wcześniej techniki, które mają na celu nie tylko uzyskanie dostępu do komputera z macOS, ale również do późniejszej jego eksploatacji. Elastic nazywa tę formę wirusa przeznaczonego na komputery z nadgryzionym jabłkiem w logo „Kandykorn” i dostał on oznaczenie REF7001. Skąd podejrzenie, że są za to odpowiedzialni hakerzy wspierani przez Koreę Północną? Chodzi o stosowane techniki i infrastrukturę sieciową — z tego względu istnieje wielkie prawdopodobieństwo, że za wszystkim stoi grupa Lazarus.

O tym zgrupowaniu na łamach Antyweb informowaliśmy już wielokrotnie — i zawsze w kontekście współpracy z Koreą Północną. Już w 2019 roku grupa Lazarus byłą odpowiedzialna za cyberataki związane między innymi z kryptowalutami, ale nie tylko. Ataki na instytucje bankowe to również bardzo istotna sfera działalności przestępców, którzy zgarnęli wtedy dla reżimu ponad pół miliarda dolarów. Już wtedy wychodzono z przeświadczenia, że obrót i handel cyfrowymi środkami płatniczymi może być naprawdę dochodowy — i jak widać, Lazarus nie schodzi z tego szlaku.

Wszystko zaczyna się od Discorda

Najbardziej przerażającym i niespodziewanym faktem jest to, że cały atak zaczyna się od Discorda. Hakerzy z grupy Lazarus podszywali się pod członków społeczności inżynierów blockchaina, przekonując ich do pobrania i rozpakowania pliku ZIP zawierającego wirusa. Wszystkie ofiary były jednak przekonane, że instalują bota, który pozwoli im czerpać korzyści z wahań wartości kryptowalut. Elastic przyznało, że Kandykorn to zaawansowany wirus oferujący różne możliwości monitorowania i interakcji, lecz przede wszystkim jest świetny w unikaniu wykrycia.

Czytaj dalej poniżej

Managery haseł mają ogromnego pecha. Najpierw LastPass, a teraz 1Password?! Jakub Szczęsny

GTA 6 - wszystko, co wiemy. Zapowiada się prawdziwa rewelacja! Kacper Cembrowski

Jak dochodzi do ataku? Najpierw hakerzy z Lazarus atakują ofiary za pomocą zakamuflowanej aplikacji bota w języku Python o nazwie Watcher.py. Jest on rozpowszechniany w pliku .zip zatytułowanym „Cross-Platform Bridges.zip”. W momencie, w którym ofiara pomyślnie zainstaluje złośliwy kod Pythona, zostanie nawiązane wychodzące połączenie sieciowe z dropperami.

Ostatni do akcji wchodzi Kandykorn, czyli wirus z możliwościami uruchamiania dowolnych poleceń, uruchamiania dodatkowego złośliwego oprogramowania, wydobywania danych i zatrzymywania różnych procesów. Szkodliwe oprogramowanie dla systemu macOS komunikuje się z hakerami za pomocą serwerów C2 z szyfrowaniem danych RC4. Jaron Bradley, dyrektor Jamf Threat Labs, mówi:

Działania prezentowane przez grupę Lazarus pokazują, że nie mają zamiaru spowalniać swoich ataków na firmy i osoby związane z kryptowalutami. W dalszym ciągu pokazują również, że w ich tylnej kieszeni nie brakuje nowego złośliwego oprogramowania i znajomości zaawansowanych technik atakujących. Nadal widzimy, jak kontaktują się bezpośrednio z ofiarami, korzystając z różnych technologii i czatów. To tutaj budują zaufanie, zanim nakłonią ich do uruchomienia złośliwego oprogramowania

Kandykorn do tej pory jest niebezpieczny, lecz ataki dotyczą raczej dość hermetycznych środowisk — teoretycznie więc nie musicie się obawiać, lecz to kolejna nauczka związana z tym, żeby zastanowić się wiele razy, zanim kliknie się w jakikolwiek link czy pobierze jakikolwiek program na swoje urządzenie.

Źródło: Elastic Security Labs