Lazarus isi imbunatateste arsenalul, cu un nou atac AppleJeus, in domeniul criptomonedelor
In 2018, echipa globala de cercetare si analiza Kaspersky (GReAT) a publicat descoperirile despre AppleJeus, o operatiune care urmarea furtul de criptomonede, efectuata de prolificul atacator cibernetic Lazarus. Acum, noile descoperiri arata ca operatiunea continua cu pasi mai atenti, cu tactici si proceduri imbunatatite si cu utilizarea Telegram drept unul dintre noii sai vectori de atac. Operatiunea a afectat mai multe victime din Marea Britanie, Polonia, Rusia si China, dintre care unele au legatura cu entitati de business din domeniul criptomonedele.
Grupul Lazarus este unul dintre cei mai activi si prolifici atacatori APT (Amenintare persistenta si avansata), desfasurand o serie de campanii ce vizeaza organizatii din domeniul criptomonedelor. In timpul operatiunii initiale AppleJeus din 2018, atacatorul a creat o companie falsa de criptomonede pentru a-si livra aplicatia si a beneficia de un capital ridicat de incredere in randul potentialelor victime. Aceasta operatiune a marcat construirea de catre Lazarus a primului program malware pentru MacOS. Aplicatia a fost descarcata de utilizatori de pe site-uri terte, iar programul periculos a fost livrat deghizat intr-un update de rutina al aplicatiei. Acesta a permis atacatorului sa obtina control complet asupra dispozitivului utilizatorului si sa fure criptomonede.
Cercetatorii Kaspersky au identificat modificari semnificative ale tacticii de atac a grupului in operatiunea urmatoare. Vectorul de atac din 2019 l-a copiat pe cel din anul precedent, dar cu unele imbunatatiri. De aceasta data, Lazarus a creat site-uri false legate de criptomonede, care gazduiau link-uri catre false canale Telegram de companie si livrau malware prin messenger.
La fel ca in operatiunea initiala AppleJeus, atacul a constat in doua faze. Utilizatorii descarcau mai intai o aplicatie iar downloader-ul asociat prelua urmatorul payload de pe un server de la distanta, permitand in final atacatorului sa controleze in totalitate dispozitivul infectat cu un backdoor permanent. De aceasta data insa, programul a fost livrat cu atentie pentru a se sustrage solutiilor de detectie bazate pe comportament. In atacurile impotriva tintelor care utilizau macOS, a fost adaugat un mecanism de autentificare pentru downloader si a fost modificata structura de dezvoltare, fiind adoptata de aceasta data o tehnica de infectare fara fisiere. Cand au vizat utilizatorii de Windows, atacatorii au evitat malware-ul Fallchill (care a fost folosit in prima operatiune AppleJeus) si au creat un malware care a rulat doar pe anumite sisteme, dupa ce le-au verificat pe baza unui set de valori date. Aceste schimbari arata ca grupul a devenit mai atent in atacurile sale, folosind noi metode pentru a evita sa fie detectat.
Lazarus a facut, de asemenea, modificari semnificative in malware-ul pentru macOS si a extins numarul de versiuni. Spre deosebire de atacul anterior, in timpul caruia Lazarus a folosit QtBitcoinTrader pentru a construi un installer de macOS, in timpul celei de-a doua operatiuni AppleJeus atacatorul a inceput sa foloseasca codul lor dezvoltat intern, pentru a construi un installer infectat. Aceste evolutii arata ca atacatorul va continua sa creeze versiuni ale malware-ului macOS si cea mai recenta detectie a noastra a fost un rezultat intermediar al acestor modificari.
„Noua operatiune AppleJeus demonstreaza ca, in ciuda stagnarii semnificative pe pietele de criptomonede, Lazarus continua sa investeasca in atacuri legate de criptomonede, facandu-le mai complexe”, explica Seongsu Park, security researche la Kaspersky. „Alte schimbari si diversificarea malware-ului lor demonstreaza ca nu exista niciun motiv sa credem ca aceste atacuri nu vor creste ca numar, devenind o amenintare mai grava.”
Grupul Lazarus, cunoscut pentru operatiunile sale complexe si legaturile cu Coreea de Nord, se remarca nu numai prin atacurile sale de spionaj si sabotaj cibernetic, ci si prin cele motivate financiar. O serie de cercetatori, inclusiv cei de la Kaspersky, au raportat anterior despre vizarea bancilor si a altor companii financiare de catre grup.
Pentru a se proteja impotriva acestui atac si a atacurilor similare, le recomandam companiilor din domeniul criptomonedelor sa aplice urmatoarele masuri:
- Introduceti o pregatire de baza pentru toti angajatii in ceea ce priveste securitatea, astfel incat acestia sa poata distinge mai bine incercarile de phishing.
- Efectuati o evaluare a securitatii aplicatiei.Va poate ajuta sa va aratati fiabilitatea catre potentialii investitori.
- Monitorizati vulnerabilitatile emergente in domeniu.
Pentru utilizatorii care exploreaza deja criptomonedele sau intentioneaza sa faca acest lucru, Kaspersky recomanda urmatoarele:
- Utilizati numai platforme de criptomonede care au dovedit ca sunt de incredere.
- Nu dati click pe link-urile care va atrag catre o banca online sau un portofel web.
- Utilizati o solutie de securitate fiabila pentru o protectie completa impotriva unei game largi de amenintari.
Puteti citi mai multe despre AppleJeus pe Securelist.com.