Продвинутая атака BlueNoroff через поддельный Zoom на криптобиржу

Недавнее расследование аналитической группы Field Effect выявило масштабный и сложный киберинцидент, связанный с канадским провайдером онлайн-гемблинга. По всей видимости, атака была проведена группой APT, известной под названием BlueNoroff, которая связывается с кибератаками, спонсируемыми северокорейским государством. Особое внимание в этом инциденте уделяется применению социальных методов инженерии и вредоносным техническим приемам, направленным на финансовый сектор и пользователей криптовалют.

Как произошла атака

Инцидент был зафиксирован во время законного Zoom-звонка, посвященного криптовалюте, состоявшегося 28 мая 2025 года. В ходе звонка жертве было предложено выполнить запуск скрипта, который был замаскирован под инструмент для восстановления звука в Zoom.

Особенности вредоносного скрипта:

• Загрузка дополнительных компонентов с поддельного домена zoom-tech.us, который внешне очень похож на официальный домен Zoom.
• Первоначально скрипт выполнял безобидные задачи и скрывал вредоносный код под около 10 000 пустых строк, чтобы избежать обнаружения.
• После активации запускался infostealer — вредоносное ПО, направленное на сбор конфиденциальных данных.

Технические детали вредоносного ПО

Запущенный infostealer использовал shell-команды для загрузки дополнительной полезной нагрузки и предполагал, что учетные данные могли храниться в временных файлах для последующей фильтрации. Наиболее критичными элементами инфицирования стали:

• Извлечение конфиденциальной информации, включая файлы связки ключей (keychain) и профили браузера, что происходило еще на ранних этапах установки.
• Использование уникальных идентификаторов, позволяющих точно связывать вредоносное ПО с конкретной целью, что обеспечивало индивидуализированный контроль над дальнейшими командами.
• Активное применение законных системных путей и механизмов внедрения процессов для сокрытия своей деятельности.
• Отслеживание действий браузера с особым вниманием к взаимодействиям, связанным с криптовалютой.
• Применение rsync для архивации и эксфильтрации данных.

Стратегические особенности кампании

Данная атака демонстрирует заметное совершенствование методов финансово мотивированных злоумышленников:

• Высокий уровень операционной зрелости за счет быстрого выполнения цепочки заражения и продуманной социальной инженерии.
• Четкая нацеленность на извлечение криптовалюты и корпоративных конфиденциальных данных.
• Использование методов анти-криминалистической экспертизы и собственной инфраструктуры для обеспечения скрытой коммуникации с вредоносным ПО.
• Продолжительность маскировки и стремление оставаться незамеченными на протяжении длительного периода.

Рекомендации по защите

В условиях роста подобных сложных угроз организациям рекомендуется принимать комплексные меры по снижению рисков:

• Ограничение выполнения несанкционированных скриптов.
• Использование встроенных функций безопасности macOS, таких как Gatekeeper.
• Внедрение решений EDR (Endpoint Detection and Response) для мониторинга вредоносного поведения в реальном времени.
• Установление строгих протоколов для взаимодействия сотрудников с технической поддержкой, чтобы предотвратить атаки с использованием подмены личности (имитации).
• Проведение постоянного аудита системных действий.
• Соблюдение принципов минимизации привилегий пользователями и процессами.

Как показывает анализ инцидента, только комплексный и продуманный подход к безопасности способен противодействовать продвинутым киберугрозам, связанным с целевыми атаками на финансовую инфраструктуру.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.