Анализ атаки BlueNoroff на Web3: скрытые угрозы через Zoom-домены
Расследование Huntress выявило изощренную атаку BlueNoroff на Web3-организацию
Недавнее расследование исследовательской группы Huntress проливает свет на новую целенаправленную атаку, осуществленную группой BlueNoroff — финансово мотивированной фракцией северокорейской Lazarus Group. Мишенью злоумышленников стала организация в сфере Web3 и криптовалют, оказавшаяся в центре масштабной кампании с использованием сложных методов проникновения и сокрытия.
Методы атаки и центр вторжения
В атаке применялись разнообразные техники, включая:
- фишинговые приманки;
- установку бэкдоров для поддержания скрытого контроля;
- распространение вредоносного расширения Zoom через Telegram.
Ключевым элементом атаки стал домен support.us05web-zoom.biz, на котором размещалась вредоносная версия расширения Zoom. Расширение было отправлено жертве после участия в организованном собрании Zoom, что обеспечивало высокую вероятность успешной компрометации.
Анализ DNS и тактика маскировки
Интересным открытием в ходе расследования стала необычная закономерность в истории DNS домена support.us05web-zoom.biz. Она преимущественно связана с общедоступным DNS-сервером Google (8.8.8.8). Использование данного IP-адреса — известного и широко признанного безопасным — является распространённой тактикой киберпреступников. Она позволяет значительно усложнить обнаружение вредоносной активности.
Расследование предполагает, что злоумышленники могли на короткое время использовать вредоносный IP-адрес для домена, после чего вновь возвращались к «безопасным» адресам. Такая смена IP-адресов соответствует классической практике оперативной секретности в кибератаках.
Расширение инфраструктуры и выявленные домены
Используя продвинутые инструменты анализа DNS, команда Huntress расширила поиск и выявила дополнительные домены, настроенные аналогичным образом. Особое внимание было уделено доменам верхнего уровня .biz, связанным с Zoom.
Основные результаты:
- Всего найдено 125 релевантных доменов;
- Отфильтровано по ключевым словам: масштабирование, знакомство, веб, поддержка;
- Собрано 36 индикаторов компрометации для проекта BlueNoroff;
- Поддомен
www.us05web-zoom.bizбыл связан с IP-адресом23.254.247.53, ранее замеченным в активности КНДР; - Обнаружены сотни дополнительных доменов и поддоменов, вероятно связанных с кампанией BlueNoroff;
- Всплеск активности зарегистрирован в период с ноября 2024 по июнь 2025 года, что указывает на систематическое возобновление атак.
Значение расследования для кибербезопасности
Это расследование становится наглядным примером того, насколько комплексным и изменчивым может быть ландшафт современных кибератак. Особенно это касается действий спонсируемых государством групп, таких как BlueNoroff.
Способность заблаговременно выявлять и отслеживать подобные кампании играют ключевую роль в повышении эффективности стратегий защиты, особенно для организаций в уязвимых секторах, включая криптовалюту и Web3. Раннее обнаружение таких угроз позволяет минимизировать потенциальные риски и предотвращать масштабные финансовые потери.
Как подчеркнули специалисты Huntress, «тщательный и систематический подход к анализу DNS и доменных инфраструктур является важнейшим элементом в борьбе с целевыми и скрытыми атаками со стороны современных киберпреступных групп».
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
