СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:39
#ИБ#Облака

LABYRINTH CHOLLIMA: эволюция киберугроз от KorDLL до Hoplight

LABYRINTH CHOLLIMA — развивающийся злоумышленник, связанный с КНДР, имеет глубокие корни в раннем фреймворке вредоносного ПО KorDLL. От исходного кода этого фреймворка (2009–2015) произошли несколько известных семейств вредоносного ПО, и с тех пор группы эволюционировали в сторону более специализированных и целевых операций.

История и технологическое происхождение

В период с 2009 по 2015 год платформа KorDLL служила хранилищем исходного кода, давшим начало таким семействам, как Dozer, Brambul, Joanap, KorDLL Bot и Koredos. С течением времени операторы, объединённые под брендом LABYRINTH CHOLLIMA, перешли на более сложные платформы — в частности, Hawup и TwoPence, что указывает на сдвиг в сторону специализированных киберопераций и повышения квалификации разработчиков вредоносного ПО.

Организационная структура: три ответвления

В рамках более широкого ландшафта деятельности выделяются три относительно самостоятельных подразделения:

  • GOLDEN CHOLLIMA — ориентирована на экономически развитые регионы с активным крипто- и финтех-сектором (США, Канада, Южная Корея, Индия и отдельные регионы Западной Европы). Предпочитает частые, относительно небольшие кражи криптовалюты, обеспечивающие стабильный поток доходов для КНДР.
  • PRESSURE CHOLLIMA — специализируется на громких атаках и хищениях крупной стоимости; связанные инциденты оцениваются в диапазоне примерно от 52 до 120 миллионов долларов в зависимости от операций с криптокошельками.
  • LABYRINTH CHOLLIMA (оригинальная группа) — сохраняет свои исследовательские и эксплуатационные возможности и функционирует параллельно с ответвлениями.

Сдвиг приоритетов: от краж к шпионажу

Начиная примерно с 2020 года, наблюдается заметный переход части активности в сторону шпионских операций. Для этого используются семейства вредоносного ПО на базе Hoplight. Одновременно произошло разделение ролей: GOLDEN CHOLLIMA и PRESSURE CHOLLIMA функционируют как отдельные подразделения, где одни специалисты фокусируются на разработке blockchain-вредоносного ПО, а другие — на сборе разведывательной информации.

«LABYRINTH CHOLLIMA переключила свое внимание на шпионскую деятельность, используя вредоносное ПО, основанное на линейке Hoplight, начиная с 2020 года.»

Текущие наблюдения указывают, что эти группы действуют как независимые организационные единицы в рамках более широкой киберстратегии КНДР, опираясь на отличительные пути разработки вредоносного ПО и различные подходы к нацеливанию.

Рекомендации по снижению риска

Для организаций, стремящихся минимизировать риски от активности LABYRINTH CHOLLIMA и её ответвлений, необходим многослойный подход к безопасности:

  • Внедрить строгие протоколы верификации входящих сообщений и звеньев коммуникации; обучать сотрудников распознавать подозрительные письма, особенно нежелательные предложения о приёме на работу.
  • Установить жёсткие политики, запрещающие запуск ненадёжного ПО; проводить обязательную проверку соответствия (compliance) и сканирование зависимостей с открытым исходным кодом перед развертыванием.
  • Организовать мониторинг облачных сред с акцентом на анализ логов: активное наблюдение за CloudTrail, GuardDuty и прочими источниками телеметрии для своевременного выявления действий после компрометации.
  • Применять принцип наименьших привилегий для управления доступом и регулярно пересматривать права учетных записей.
  • Принудительно внедрять многофакторную аутентификацию (MFA) для облачных и критичных учетных записей, чтобы снизить риск использования скомпрометированных учётных данных.

Вывод

Эволюция от KorDLL к современным платформам (Hawup, TwoPence, Hoplight) демонстрирует, что угроза от LABYRINTH CHOLLIMA становится более специализированной и многопрофильной. Комбинация целенаправленных финансовых хищений и развёрнутых шпионских операций требует от организаций постоянного совершенствования процессов безопасности, усиленного мониторинга и целевых обучающих программ для персонала. Только многослойный и проактивный подход способен снизить влияние этих развивающихся угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: