Операция «Фантомный контур»: угроза от Lazarus Group

Операция 171Фантомный контур187: угроза от Lazarus Group

Недавнее расследование, проведенное командой STRIKE, раскрыло детали сложной глобальной киберугрозы, известной как «Phantom Circuit». Она была организована хакерской группой Lazarus Group, базирующейся в Северной Корее, и была нацелена на разработчиков криптовалют и технологий. Злоумышленники внедряли вредоносное ПО в надежные приложения, используя для этого различные тактики и технологии.

Новые детали о тактиках хакеров

Расследование STRIKE выявило ряд критически важных аспектов операции «Phantom Circuit»:

  • Злоумышленники использовали прокси-серверы в Хасане, Россия, чтобы скрыть свою активность.
  • Основные серверы управления (C2) включают IP-адреса: 94.131.9.32, 185.153.182.241 и 86.104.74.51.
  • В качестве основной точки выхода использовался Astrill VPN, маршрутизируя соединения через российские прокси-серверы.

Структура операции

Операция «Phantom Circuit» состояла из трех этапов и проводилась с ноября 2024 по январь 2025 года. В результате действий злоумышленников было выведено из строя более 1500 систем по всему миру. Удалось извлечь критически важные данные, включая:

  • учетные данные разработчиков,
  • токены аутентификации,
  • системную информацию.

Собранные данные были сохранены в Dropbox для дальнейшего использования, что подчеркивает уровень подготовки и методичность нарушителей.

Технологическая инфраструктура Lazarus Group

Уникальная инфраструктура и продвинутые технологии, использованные Lazarus Group, обеспечили постоянный доступ к системам, избегание обнаружения и безопасное извлечение данных на каждом этапе операции. Расследование также выявило использование административной платформы для систематического поиска, фильтрации и упорядочивания украденных данных.

Рекомендации для организаций

Для снижения рисков, связанных с подобными киберугрозами, STRIKE рекомендует организациям внедрить следующие меры:

  • Проверка пакетов;
  • Мониторинг сети на предмет необычных действий;
  • Обнаружение прокси-серверов;
  • Регулярные проверки инструментов разработки;
  • Тщательный контроль удаленного доступа.

В случае подозрений на влияние операции «Phantom Circuit» организациям настоятельно рекомендуется обращаться в группу реагирования на инциденты, чтобы обеспечить своевременное сдерживание и анализ.

Решение от SecurityScorecard

Также стоит отметить, что SecurityScorecard предлагает решение для обнаружения и реагирования на цепочки поставок (SCDR). Оно направлено на помощь организациям в отслеживании и оценке цепочек поставок программного обеспечения, выявлении уязвимостей и предотвращении угроз, таких как «Phantom Circuit».

Это решение значительно повышает безопасность цепочки поставок и помогает своевременно противостоять угрозам от хакеров.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: