Lazarus атакует крипторазработчиков через фальшивые собеседования и BeaverTail

Расследование, сосредоточенное на машине активного оператора группировки Lazarus, раскрывает подробную картину организованной и масштабной киберпреступной инфраструктуры. Исследуемая система WIN-RCH83RTDA5G, развёрнутая на MonoVM VPS под управлением Windows Server 2025, выступала центром операций, включавших сложную сеть VPN-сессий, инструменты для кражи учётных данных и механизмы отмывания криптовалюты.

Ключевые факты

• Исследуемая машина: WIN-RCH83RTDA5G на MonoVM VPS, Windows Server 2025.
• Целевая база: почти 17 000 разработчиков криптовалют — список обнаружен на диске машины.
• Найдено более 600 украденных документов и операционные артефакты (включая скрипты PowerShell).
• Используемые тактики соответствуют ранее задокументированным операциям Lazarus и семейству вредоносного ПО BeaverTail.
• Один из псевдонимов оператора — EvilGru52 — был связан с аккаунтами на разных платформах.
• Эксплуатация платформы Stargate показала механизмы перемещения и обфускации украденных средств через разные блокчейны.

Техническая картина атак

Форенсика исследуемой системы выявила явную структуризацию работы оператора. Машина использовалась как центральный узел с несколькими параллельными VPN-сессиями разных провайдеров, что говорило о сознательной попытке скрыть следы и распределить нагрузку операций. Среди извлечённых артефактов — скрипты PowerShell и инструменты для сбора учётных данных, характерные для кампаний по краже кошельков.

Обнаруженные паттерны поведения коррелировали с ранее описанными методиками BeaverTail, включая автоматизированный сбор данных из локальных и удалённых репозиториев и попытки извлечения приватных ключей цифровых кошельков.

Тактики социальной инженерии и цели

«фальшивые собеседования для работы»

Главный вектор агрессии — таргетирование разработчиков криптовалют через поддельные предложения о работе и подставные собеседования. Оператор размещал вредоносный код в репозиториях, которые выглядели легитимно, и таким образом добивался выполнения эксплуатируемых бинарников или скриптов у целей. Эта тактика позволяла получить доступ к исходному коду, конфигурациям и, ключевым образом, к приватным ключам или средствам доступа к кошелькам.

Организация и операционная промышленность преступления

Материалы расследования показывают, что действия оператора не были разрозненными: обнаружены структурированные папки, оперативные шаблоны и множественные псевдонимы, связанные между собой на разных платформах. Такой подход говорит о «индустриализации» преступной деятельности — стандартизированные процессы, повторяемые сценарии компрометации, делегирование задач и использование готовых шаблонов для ускорения операций.

Ошибки оператора и последствия

Несмотря на высокий уровень организации, в арсенале оператора встречались критические просчёты в OPSEC. В частности, на той же скомпрометированной машине в открытом виде был сохранён файл с приватными ключами от собственного криптовалютного кошелька оператора. Этот промах демонстрирует, что даже у тщательно структурированных групп встречаются элементарные ошибки, которые могут привести к раскрытию их инфраструктуры и финансовых потоков.

Кроме того, форенсика показала использование Stargate для перемещения и микширования похищенных активов через разные блокчейны — техника, повышающая сложность отслеживания средств и усложняющая работу правоохранительных и аналитических служб.

Что это значит для разработчиков и индустрии

• Разработчики криптовалютных проектов остаются приоритетной целью: мошенники активно используют социальную инженерию и поддельные репозитории.
• Платформы управления исходным кодом и HR-сервисы должны усиливать верификацию вакансий и публикуемого контента.
• Организации должны внедрять жёсткие политики хранения секретов (never store private keys on development machines) и использовать hardware wallets и HSM для управления критическими ключами.

Рекомендации

• Немедленно провести аудит учётных записей и репозиториев команды; удалить подозрительные зависимости и CI-сценарии.
• Внедрить многофакторную аутентификацию и мониторинг аномалий для developer accounts.
• Использовать отдельные, изолированные среды для приёма резюме и проведения интервью (ни в коем случае не на основных разработческих машинах).
• Применять best practices для хранения ключей: hardware wallets, HSM, секрет-менеджеры и ротация ключей.
• Организациям и платформам стоит обмениваться индикаторами компрометации (IOCs) и интегрировать автоматические блокировки подозрительной активности.

Заключение

Расследование активности, связанной с Lazarus, подчёркивает, что современные киберпреступные операции достигли уровня промышленных процессов: масштабируемые методики, шаблоны и цепочки инструментов позволяют атакующим быстро наращивать темпы компрометаций. Вместе с тем даже у таких структур случаются фатальные ошибки, которые дают шанс на раскрытие и пресечение их деятельности. Для профессионального сообщества разработчиков и провайдеров сервисов это сигнал к немедленному усилению мер безопасности и к повышению бдительности в отношении приёма новых сотрудников и сторонних репозиториев.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.