Η βορειοκορεατική ομάδα hacking Lazarus βρίσκεται πίσω από μια νέα επίθεση που περιλαμβάνει τη διάδοση ψεύτικων εφαρμογών κρυπτονομισμάτων με το επινοημένο brand “BloxHolder”. Με αυτόν τον τρόπο εγκαθιστούν το malware AppleJeus, το οποίο τους δίνει αρχική πρόσβαση σε δίκτυα και τελικά τους επιτρέπει να κλέψουν crypto assets.
Το κακόβουλο λογισμικό AppleJeus υπάρχει τουλάχιστον από το 2018 και χρησιμοποιείται από τη Lazarus για επιχειρήσεις κλοπής κρυπτονομισμάτων, όπως αναφέρεται σε κοινή έκθεση του FBI και της CISA από τον Φεβρουάριο του 2021.
Μια νέα έκθεση της Volexity εντόπισε νέα, ψεύτικα προγράμματα κρυπτογράφησης και δραστηριότητα AppleJeus, με σημάδια εξέλιξης στην αλυσίδα μόλυνσης και τις ικανότητες του κακόβουλου λογισμικού.
Δείτε επίσης: Microsoft account: 7 βασικές συμβουλές ασφαλείας
Νέα καμπάνια BloxHolder
Η νέα καμπάνια που αποδίδεται στην ομάδα Lazarus ξεκίνησε τον Ιούνιο του 2022 και ήταν ενεργή τουλάχιστον μέχρι τον Οκτώβριο του 2022.
Σε αυτή την επίθεση, οι χάκερ αξιοποίησαν το domain “bloxholder[.]com”, το οποίο είναι ένας κλώνος της αυτοματοποιημένης πλατφόρμας cryptocurrency trading HaasOnline.
Αυτός ο ιστότοπος διένειμε ένα πρόγραμμα εγκατάστασης Windows MSI 12,7 MB που προσποιήθηκε ότι ήταν η εφαρμογή BloxHolder. Ωστόσο, στην πραγματικότητα, ήταν το κακόβουλο λογισμικό AppleJeus που συνοδεύτηκε από την εφαρμογή QTBitcoinTrader.
Τον Οκτώβριο του 2022, η ομάδα hacking εξέλιξε την καμπάνια της για να χρησιμοποιεί έγγραφα του Microsoft Office αντί του προγράμματος εγκατάστασης MSI για τη διανομή του κακόβουλου λογισμικού.
Το έγγραφο 214 KB ονομάστηκε “OKX Binance & Huobi VIP fee comparision.xls” και περιείχε μια μακροεντολή που δημιουργεί τρία αρχεία στον υπολογιστή ενός στόχου.
Η Volexity δεν μπόρεσε να βρει το τελικό payload από αυτή τη μεταγενέστερη καμπάνια μόλυνσης, αλλά παρατήρησαν ομοιότητες στον μηχανισμό DLL sideloading που βρέθηκε στις επιθέσεις MSI installer που χρησιμοποιήθηκαν στο παρελθόν, επομένως είναι βέβαιοι ότι πρόκειται για την ίδια καμπάνια.
Δείτε επίσης: ΗΠΑ: Οι αμυντικοί εργολάβοι δεν τηρούν τις βασικές προϋποθέσεις cybersecurity
Κατά την εγκατάσταση μέσω της αλυσίδας μόλυνσης MSI, το AppleJeus θα δημιουργήσει μια προγραμματισμένη εργασία και θα αποβάλει επιπλέον αρχεία στο φάκελο “%APPDATA%\Roaming\Bloxholder\”.
Τέλος, το κακόβουλο λογισμικό συγκεντρώνει πληροφορίες όπως η διεύθυνση MAC, το όνομα του υπολογιστή και η έκδοση του λειτουργικού συστήματος για να τις στείλει στον διακομιστή C2 μέσω ενός αιτήματος POST. Ο σκοπός των δεδομένων είναι πιθανότατα να προσδιορίσει εάν εκτελείται σε εικονική μηχανή ή sandbox.
Μια νέα μέθοδος που χρησιμοποιούν ορισμένοι κακόβουλοι φορείς για να φορτώνουν κακόβουλο λογισμικό ονομάζεται chained DLL sideloading, η οποία φορτώνει το κακόβουλο λογισμικό μέσα από μια αξιόπιστη διεργασία και επομένως αποφεύγει την ανίχνευση από τα AV.
Η Volexity λέει ότι ο λόγος που η ομάδα Lazarus επέλεξε το αλυσιδωτό DLL sideloading είναι ασαφής, αλλά μπορεί να είναι ότι εμποδίζει την ανάλυση κακόβουλου λογισμικού.
Ένα άλλο νέο χαρακτηριστικό στα πρόσφατα δείγματα AppleJeus είναι ότι όλα τα stings και τα API calls του είναι πλέον obfuscated χρησιμοποιώντας έναν προσαρμοσμένο αλγόριθμο, καθιστώντας τα πιο κρυφά έναντι των προϊόντων ασφαλείας.
Αν και η εστίαση της Lazarus στα cryptocurrency assets είναι καλά τεκμηριωμένη, οι βορειοκορεάτες χάκερ παραμένουν σταθεροί στον στόχο τους να κλέβουν ψηφιακό χρήμα, ανανεώνοντας συνεχώς θέματα και βελτιώνοντας τα εργαλεία για να παραμείνουν όσο το δυνατόν πιο κρυφοί.
Ποιο είναι το Lazarus Group
Το Lazarus Group, το οποίο είναι γνωστό ως ZINC, είναι μια βορειοκορεατική ομάδα hacking που λειτουργεί εδώ και πάνω από μια δεκαετία.
Η ομάδα απέκτησε φήμη μετά την επιτυχή διεξαγωγή μιας κυβερνοεπίθεσης κατά της Sony Films, και της παγκόσμιας εκστρατείας λύτρων WannaCry του 2017, η οποία κρυπτογράφησε επιχειρήσεις σε όλο τον κόσμο.
Τον Ιανουάριο του 2021, η Google διαπίστωσε ότι η ομάδα Lazarus δημιουργούσε ψεύτικες online personas για να ξεγελάσει ερευνητές ασφαλείας σε εκστρατείες social engineering που εγκαθιστούσαν backdoor στις συσκευές τους. Μια δεύτερη επίθεση με αυτήν την τακτική ανακαλύφθηκε τον Μάρτιο του 2021.
Τον Σεπτέμβριο του 2019, η κυβέρνηση των ΗΠΑ προειδοποίησε τη Lazarus, επιβάλλοντάς της κυρώσεις και τώρα προσφέρει αμοιβή 5 εκατομμυρίων δολαρίων για οποιαδήποτε πληροφορία που θα μπορούσε να βοηθήσει να σταματήσουν οι δραστηριότητές της.
Δείτε επίσης: Google Play: Κακόβουλες εφαρμογές με 2 εκατομμύρια λήψεις
Στις πιο πρόσφατες επιθέσεις έχουν στραφεί στη διάδοση trojanized cryptocurrency πορτοφολιών και εφαρμογών συναλλαγών που κλέβουν τα ιδιωτικά κλειδιά των ανθρώπων και εξαντλούν τα crypto assets τους.
Τον Απρίλιο, η κυβέρνηση των ΗΠΑ συνέδεσε την ομάδα Lazarus με μια κυβερνοεπίθεση στο Axie Infinity που τους επέτρεψε να κλέψουν tokens Ethereum και USDC αξίας άνω των 617 εκατομμυρίων δολαρίων.
Αργότερα αποκαλύφθηκε ότι το hack του Axie Infinity κατέστη δυνατό λόγω μιας επίθεσης phishing που περιείχε ένα κακόβουλο αρχείο PDF που προσποιείτο ότι ήταν μια προσφορά εργασίας που στάλθηκε σε έναν από τους μηχανικούς της εταιρείας.
Πηγή πληροφοριών: bleepingcomputer.com
