Операция «Фантомный контур»: угроза от Lazarus Group

Недавнее расследование, проведенное командой STRIKE, раскрыло детали сложной глобальной киберугрозы, известной как «Phantom Circuit». Она была организована хакерской группой Lazarus Group, базирующейся в Северной Корее, и была нацелена на разработчиков криптовалют и технологий. Злоумышленники внедряли вредоносное ПО в надежные приложения, используя для этого различные тактики и технологии.
Новые детали о тактиках хакеров
Расследование STRIKE выявило ряд критически важных аспектов операции «Phantom Circuit»:
- Злоумышленники использовали прокси-серверы в Хасане, Россия, чтобы скрыть свою активность.
- Основные серверы управления (C2) включают IP-адреса: 94.131.9.32, 185.153.182.241 и 86.104.74.51.
- В качестве основной точки выхода использовался Astrill VPN, маршрутизируя соединения через российские прокси-серверы.
Структура операции
Операция «Phantom Circuit» состояла из трех этапов и проводилась с ноября 2024 по январь 2025 года. В результате действий злоумышленников было выведено из строя более 1500 систем по всему миру. Удалось извлечь критически важные данные, включая:
- учетные данные разработчиков,
- токены аутентификации,
- системную информацию.
Собранные данные были сохранены в Dropbox для дальнейшего использования, что подчеркивает уровень подготовки и методичность нарушителей.
Технологическая инфраструктура Lazarus Group
Уникальная инфраструктура и продвинутые технологии, использованные Lazarus Group, обеспечили постоянный доступ к системам, избегание обнаружения и безопасное извлечение данных на каждом этапе операции. Расследование также выявило использование административной платформы для систематического поиска, фильтрации и упорядочивания украденных данных.
Рекомендации для организаций
Для снижения рисков, связанных с подобными киберугрозами, STRIKE рекомендует организациям внедрить следующие меры:
- Проверка пакетов;
- Мониторинг сети на предмет необычных действий;
- Обнаружение прокси-серверов;
- Регулярные проверки инструментов разработки;
- Тщательный контроль удаленного доступа.
В случае подозрений на влияние операции «Phantom Circuit» организациям настоятельно рекомендуется обращаться в группу реагирования на инциденты, чтобы обеспечить своевременное сдерживание и анализ.
Решение от SecurityScorecard
Также стоит отметить, что SecurityScorecard предлагает решение для обнаружения и реагирования на цепочки поставок (SCDR). Оно направлено на помощь организациям в отслеживании и оценке цепочек поставок программного обеспечения, выявлении уязвимостей и предотвращении угроз, таких как «Phantom Circuit».
Это решение значительно повышает безопасность цепочки поставок и помогает своевременно противостоять угрозам от хакеров.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



