Telegram

Пхеньянские крипто-хакеры атакуют терминалы в торговых точках

Исследователи по безопасности раскрыли новую обширную кампанию с вредоносным ПО, нацеленную на пользователей криптовалюты. Предполагается, что у истоков кампании стоит Lazarus Group, группировка хакеров, спонсируемая северо-корейским правительством.

Этой же группе, активной с 2009 года, приписывают множество крупных атак, включая взлом Sony Pictures, ограбление Bangladesh Bank на 81 млн USD и WannaCry.

Эксперты по безопасности также обвиняют Lazarus Group в краже биткоинов стоимостью в миллионы с южнокорейский биржи Youbit. После потери 17% активов сайт вынужден был закрыться и объявить о банкротстве.

Исследователи фирмы по безопасности Proofpoint опубликовали новый доклад, где связали Lazarus Group и множество многоступенчатых атак против пользователей криптовалюты и терминалов.

«Группа все больше сосредотачивается на финансовых атаках, и похоже, наживает состояние на возрастающем интересе к криптовалютам. Их инструментарий обширен и постоянно развивается».

После анализа большого количества фишинговых писем с различным вектором и от различных кампаний, исследователи раскрыли новый имплант на базе PowerShell от Lazarus Group, под названием PowerRatankba.

Шифрование, намеренная запутанность, функциональность, маскировка и сервера, используемые имплантом, весьма напоминают исходный Ratankba от Lazarus Group. Он распространяется по е-мейл кампании по векторам:

  • загрузочник PowerSpritz;
  • вредоносные файлы Windows Shortcut (LNK);
  • несколько вредоносных файлов справки Microsoft (CHM);
  • множество загрузочников Multiple JavaScript (JS);
  • документы с макросами;
  • популярные криптовалютные приложения на фальшивых вебсайтах.

PowerRatankba (выпущено, как минимум, две версии) работает как вредоносный код первой стадии, который доставляет инструмент обхода системы защиты (в данном случае Gh0st RAT) только тем фирмам, организациям и личностям, которые интересуются криптовалютой.

«Мы обнаружили, что приложения, не занимающиеся криптовалютой, никогда не заражались имплантом второй стадии. Очевидно, операторы PowerRatankba интересовались лишь теми пользователями, которые имели явное отношение к криптовалютам».

После установки Gh0st RAT позволял преступникам воровать идентификацию для кошельков криптовалюты и бирж.

Примечательно, что PowerRatankba и Gh0st RAT не используют уязвимости нулевого дня. Вместо этого Lazarus Group полагается на смесь хакерских практик, вроде передачи C&C по протоколу HTTP, использования шифрования Spritz и шифрователя на базе Base64.

«Хорошо известно, что Lazarus Group успешно атаковала несколько крупных криптовалютных компаний и бирж. Подозревают, что группа извлекла криптовалюты на сумму почти 100 млн USD по нынешнему курсу».

Кроме кражи криптовалют, группировка также заразила терминалы в торговых точках, которые в основном установлены в Южной Корее. С помощью RatankbaPOS хакеры получали данные по кредитным картам. RatankbaPOS пользуется тем же C&C сервером, что и PowerRatankba, поэтому следователи полагают, что оба кода связаны с Lazarus Group.

Подписывайтесь на наши социальные сети:

Оцените качество статьи:

(1 голос, в среднем: 5 из 5)
  1. 5
  2. 4
  3. 3
  4. 2
  5. 1
loading...
Комментарии | 1
Комментариев (1)
  • NEMIZIDA

    Да время не стоит на месте . Все хотят жить хорошо и красиво . Как в песни у Виктора Цоя Песня Без Слов




    0



    0
    20 декабря 2017
  • Оставить комментарий



    Наши друзья и партнеры: