дата публикации

BitMEX блокирует попытку фишинга от Lazarus, называя тактику «несложной»

источник

BitMEX сообщил, что ему удалось отразить попытку фишинговой атаки от Группы Лазаря, охарактеризовав ее как использующую "недостаточно сложные" методы фишинга, присущие этой известной группе, связанной с Северной Кореей. В блоге, опубликованном 30 мая, криптобиржа детализировала, как один из сотрудников получил запрос через LinkedIn под видом сотрудничества в сфере Web3 NFT. Злоумышленник пытался заманить цель к запуску проекта на GitHub, который содержал вредоносный код, что, по словам компании, стало фирменным знаком операций Группы Лазаря. "Эта взаимодействие хорошо известно, если вы знакомы с тактикой Лазаря", — отметила BitMEX, добавив, что команда безопасности быстро выявила замаскированное JavaScript-сообщение и проследила его до инфраструктуры, ранее связанной с группой. В качестве вероятного провала в операционной безопасности было выявлено, что один из IP-адресов, связанных с северокорейскими операциями, находился в городе Цзясинь, Китай, примерно в 100 км от Шанхая. "Общим шаблоном в их основных операциях является использование относительно простых методов, которые часто начинаются с фишинга, чтобы получить доступ к системам целей", — написала BitMEX. При изучении других атак было замечено, что усилия Северной Кореи в хакерстве, вероятно, поделены на несколько подгрупп с разными уровнями технической сложности. "Это можно наблюдать через множество задокументированных примеров плохих практик от этих ‘передовых’ групп, которые осуществляют атаки социального инжиниринга, в отличие от более сложных техник, применяемых в некоторых известных взломах", — говорится в статье. Группа Лазаря является общим названием, которое используют фирмы по кибербезопасности и западные разведки для описания нескольких команд хакеров, действующих под руководством северокорейского режима. В 2024 году Chainalysis приписала 1,34 миллиарда долларов украденной криптовалюты северокорейским актерам, что составило 61% всех краж того года по 47 инцидентам, что является рекордно высоким показателем и на 102% превышает общую сумму краж в 2023 году, которая составила 660 миллионов долларов. Но, как предостерегает основатель и CEO Nominis Снир Леви, рост знаний о тактиках Группы Лазаря не делает их менее опасными. "Группа Лазаря использует множество методов для кражи криптовалют", — сказал он Decrypt.

"Согласно жалобам, которые мы собираем от людей, можем предположить, что они пытаются обмануть людей ежедневно". Размер некоторых их уловов впечатляет. В феврале хакеры украли более 1,4 миллиарда долларов с Bybit, что стало возможным благодаря тому, что группа обманула сотрудника Safe Wallet на запуск вредоносного кода на его компьютере. "Даже атака на Bybit началась с социального инжиниринга", — сказал Леви. Другие кампании включают Radiant Capital, где подрядчик был взломан с помощью вредоносного PDF-файла, который установил обратный шлюз. Методы атак варьируются от базового фишинга и поддельных вакансий до более сложных техник, таких как модификация смарт-контрактов и манипуляции с облачной инфраструктурой. Раскрытие BitMEX дополняет растущее количество доказательств, документирующих многоуровневые стратегии Группы Лазаря.

Это следует за другим отчетом в мае от Kraken, в котором компания описала попытку северокорейца устроиться на работу. Представители США и международные органы утверждают, что Северная Корея использует кражи криптовалюты для финансирования своих программ вооружений, некоторые отчеты оценивают, что это может составлять до половины бюджета на разработку ракет режима.