Как именно блокчейн помогает северокорейским хакерам красть криптовалюту

По данным новых исследований Cisco Talos и Google Threat Intelligence Group, хакеры из Северной Кореи проводят свои кибератаки, используя децентрализованные и труднообнаруживаемые инструменты вредоносного ПО

Такие атаки нацелены на кражу криптовалюты и проникновение в сети потенциальной жертвы. Часто мошенников интересуют соискатели работы. Новые исследования помогли выяснить, как именно действует киберармия Ким Чен Ына.

Киберармия Ким Чен Ына: как Северная Корея крадет крипту

Эволюция методов

Исследователи Cisco Talos выявили текущую кампанию северокорейской хакерской группировки Famous Chollima. Хакеры использовали два взаимодополняющих вредоносных ПО: BeaverTail и OtterCookie. Эти программы, которые традиционно применяют для кражи учетных записей и вывода данных, теперь могут больше. Мошенники интегрировали в них новые функции для более тесного взаимодействия с жертвой.

Недавно на Шри-Ланке произошел инцидент с одной организацией: злоумышленники обманом заставили соискателя установить вредоносную программу, выдав ее за часть технического задания при приеме на работу. Хотя сама компания не была целью атаки, аналитики Cisco Talos обнаружили, что вирус содержал модуль для записи нажатий клавиш и снимков экрана, связанный с вредоносом OtterCookie. Этот модуль незаметно фиксировал действия пользователя и автоматически отправлял собранные данные на удаленный сервер. Случай показывает, что поддельные вакансии могут быть опасны не только для компаний, но и для самих кандидатов.

Северокорейские хакеры делают акцент на техниках социальной инженерии для компрометации ничего не подозревающих целей. При этом их техники постоянно эволюционируют.

Блокчейн как командная инфраструктура для хакеров

Группа Google Threat Intelligence Group (GTIG) обнаружила операцию, проведенную северокорейской организацией UNC5342. Они использовали новое вредоносное ПО EtherHiding. Этот инструмент прячет вредоносные JavaScript-пакеты в публичном блокчейне, превращая его в децентрализованную сеть команд и управления (C2).

Благодаря блокчейну злоумышленники могут изменять поведение вредоносного ПО удаленно, без использования традиционных серверов, что затрудняет работу правоохранительных органов. GTIG также сообщила, что UNC5342 применяла EtherHiding в кампании социальной инженерии под названием Contagious Interview, ранее выявленной Palo Alto Networks.

Соискатели под прицелом

По данным исследователей Google, кибероперации часто начинаются с фальшивых объявлений о работе. Мошенники целятся на специалистов в области криптовалют и кибербезопасности. Жертв приглашают участвовать в поддельных тестовых заданиях, в ходе которых им предлагают скачать файлы с вредоносным кодом.

Заражение часто включает несколько видов вредоносного ПО, такого, как JadeSnow, BeaverTail и InvisibleFerret. Программы позволяют злоумышленникам получать доступ к системам, красть учетные данные и эффективно разворачивать программы-вымогатели. Цели варьируются от шпионажа и воровства денег до долгосрочного проникновения в сети.

Cisco и Google опубликовали индикаторы компрометации (IOC), чтобы помочь организациям обнаруживать и реагировать на киберугрозы из Северной Кореи. Эти ресурсы содержат технические детали для выявления вредоносной активности и предотвращения потенциальных нарушений. Исследователи предупреждают, что использование блокчейна и модульного вредоносного ПО, вероятно, продолжит усложнять глобальные усилия по обеспечению кибербезопасности.

Хотите стать частью большого и дружного сообщества BIC? Тогда подписывайтесь на нашу группу в «Телеграме» — там вас ждет общение с криптоэнтузиастами, помощь от наших экспертов и эксклюзивные комментарии опытных аналитиков.

The post Как именно блокчейн помогает северокорейским хакерам красть криптовалюту appeared first on BeInCrypto.