Kaspersky Lab: криптобизнес по-прежнему является мишенью для хакеров из Lazarus

Северокорейская хакерская группа Lazarus по-прежнему нацелена на криптовалютный бизнес и применяет новые тактики, отмечает антивирусная компания Kaspersky Lab в новом отчете.

Компания обнаружила, что группа киберзлоумышленников, которую связывают с властями Северной Кореи, с ноября прошлого года начала проводить новый вид операций. Хакеры используют PowerShell, расширяемое средство автоматизации от Microsoft с открытым исходным кодом, для управления системами Windows и вредоносными программами macOS для Apple.

Lazarus разработала собственные сценарии PowerShell, которые взаимодействуют со злонамеренными серверами C2 и выполняют команды оператора. Имена сценариев сервера C2 замаскированы под файлы WordPress, а также файлы других популярных проектов с открытым исходным кодом. После создания сеанса управления вредоносным ПО на сервере оно может загружать и выгружать файлы, обновлять конфигурацию вредоносного ПО и собирать основную информацию о хосте.

Kaspersky Lab подчеркнула, что группа Lazarus APT нацелена на финансовые организации, особенно на криптовалютные биржи. Компания рекомендовала представителям индустрии соблюдать меры предосторожности:

“Если вы являетесь частью процветающей индустрии криптовалют или технологических стартапов, будьте особенно осторожны при работе с новыми третьими лицами или при установке программного обеспечения в своих системах. Лучше всего проверять новое ПО с помощью антивируса или, по крайней мере, использовать популярные бесплатные службы сканирования на вирусы. И никогда не активируйте макросы в документах Microsoft Office, полученных из новых или ненадежных источников”.

Напомним, что по данным специалистов компании Group-IB в 2017-2018 годах хакеры группировки Lazarus взломали 5 криптобирж, включая японскую Coincheck, которая потеряла $534 млн. По оценке экспертов ООН с помощью кибератак Пхеньян получил $571 млн в криптовалютах.