Хакеры Lazarus используют Astrill VPN для анонимности в атаках

Недавнее расследование выявило, что хакеры, связанные с северокорейской группой Lazarus, активно используют сервис Astrill VPN для сокрытия своих IP-адресов во время кибератак. Эта информация подтверждается данными об инфраструктуре и журналами, связанными с группой, известной как «Заразительное интервью» или «Знаменитая Чоллима».
Подтверждение предыдущих выводов
Данные, собранные аналитиками, согласуются с выводами Google Mandiant от сентября 2024 года, которые указывали на то, что поддельные ИТ-работники, связанные с КНДР, продолжают использовать VPN-сервис Astrill для маскировки своей личности.
Сбор данных и анализ
Аналитики Silent Push осуществили сбор «массового потока данных» об IP-адресах Astrill VPN в режиме реального времени, что поможет клиентам защититься от северокорейских и других угроз. Углубленный анализ показывает, что различные сотрудники подгруппы Lazarus предпочитают использовать Astrill VPN для сокрытия местоположения во время операций.
Изучение группировки PurpleBravo
Исследование, проведенное Insikt Group, подразделением Recorded Future (организация, признанная нежелательной в России в соответствии с решением Генпрокуратуры РФ), предоставило дополнительные данные о мошенничестве ИТ-работников КНДР. Особое внимание было уделено подгруппе, известной как PurpleBravo, которая активно нацелена на разработчиков программного обеспечения в сфере криптовалют. Insikt Group подтвердила использование Astrill VPN для управления своей командно-диспетчерской инфраструктурой (C2).
Подозрительная активность и кража средств
Кроме того, аналитики Silent Push обнаружили подозрительный домен bybit-assessment.com, зарегистрированный всего за несколько часов до кражи ByBit на сумму 1,4 миллиарда долларов. Данные WHOIS указывают на то, что при регистрации использовался адрес электронной почты, связанный с репозиторием Tayvano на GitHub, известным своими документами о деятельности другой подгруппы Lazarus.
Продолжающееся отслеживание и будущее киберугроз
Логи, извлеченные из скомпрометированной инфраструктуры, показывают, что несколько IP-адресов Astrill VPN активно используются. Текущее отслеживание Astrill VPN позволяет выявить значительное количество уникальных IP-адресов, связанных с сервисом, которые постоянно обновляются.
Цель этого расследования заключается в улучшении коллективного понимания инструментов, используемых северокорейскими группами APT, что будет способствовать усилиям сообщества кибербезопасности по эффективному противодействию этим угрозам. В будущем информация об использовании Astrill VPN и ее роли в кибероперациях Северной Кореи будет доступна более широкому кругу специалистов по безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



