СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.02.2025
#Dev#ИБ#Инфра

Лазарь: новые угрозы от северокорейской хакерской группы

Лазарь: новые угрозы от северокорейской хакерской группы

Источник: www.silentpush.com

Аналитики Silent Push сообщили о своем успешном внедрении в инфраструктуру, используемую северокорейской группой Lazarus APT, известной своей деятельностью в области киберопераций с 2009 года. Это открытие стало особенно актуальным на фоне недавней кражи криптовалюты из Bybit на сумму 1,4 миллиарда долларов, которая произошла всего через несколько часов после регистрации домена bybit-assessment.com.

Домен и уловки группы Lazarus

Домен bybit-assessment.com использовал адрес электронной почты trevorgreer9312@gmail.com, который ранее ассоциировался с активностью группы Lazarus. В журналах исследования обнаружено имя «Лазаро», что также указывает на связь с этой преступной группой.

Инфраструктура и методы работы

Аналитики идентифицировали ряд ключевых аспектов, связанных с деятельностью Lazarus Group:

  • Использование 27 различных IP-адресов, связанных с Astrill VPN для настройки их систем;
  • Мошеннические собеседования при приеме на работу через платформы, такие как LinkedIn, для распространения вредоносного ПО;
  • Предыдущее использование доменов, связанных с мошенничеством, таких как api.nvidia-release.org.

Анализ инцидентов и предупреждения

Недавние фишинговые кампании, нацеленные на криптосообщество, подчеркивают изменяющуюся тактику группы. Так, домен bybit-assessment.com был зарегистрирован перед кражей, что свидетельствует о стратегическом планировании.

IP-адрес 91.222.173.30, связанный с доменом, был ранее подтвержден в нескольких случаях вредоносных действий, включая крипто-мошенничество. При этом, согласно анализу, скомпрометированные конфигурации использовались для оптимизации фишинговых стратегий.

Фишинговые стратегии и методы заманивания

Как показали предыдущие отчеты, мошенничество с трудоустройством является распространённым методом работы северокорейских хакеров. Жертвам предлагали загрузить вредоносные скрипты, маскирующиеся под законные обновления, что создавало дополнительные риски.

Рекомендации и меры безопасности

Silent Push представила подборку индикаторов компрометации (IOFAC), касающихся данного расследования, включающую активные домены, связанные с инфраструктурой Lazarus Group. Эти ресурсы помогут сообществу кибербезопасности выявлять и блокировать потенциальные угрозы.

Постоянный мониторинг и сотрудничество с правоохранительными органами будут ключевыми факторами в снижении рисков, связанных с деятельностью этого государства-спонсируемого хакера.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: