СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
16.04.2025
#Dev#ИБ#Инфра#Облака

Северокорейские хакеры: криптовалютный сектор под атакой

Северокорейские хакеры: криптовалютный сектор под атакой

Источник: unit42.paloaltonetworks.com

Хакерская группа Slow Pisces, получающая поддержку от северокорейского государства, активизировала свои действия, сосредоточив внимание на криптовалютном секторе. Эта группа использует передовые фишинговые схемы, обманом привлекая жертв через популярную платформу LinkedIn.

Изощренные фишинговые атаки

Недавние кампании Slow Pisces используют фишинг в качестве основного метода атаки. Они привлекают внимание разработчиков криптовалют, создавая кажущиеся легитимными задачи и проблемы с кодированием, которые затем маскируют их истинные намерения:

  • Доставка вредоносных программ RN Loader и RN Stealer.
  • Взаимодействие с разработчиками через безопасные PDF-файлы и закодированные задачи на платформе GitHub.
  • Смешивание законных задач с вредоносными элементами.

Механизм атаки и скрытые угрозы

Атака начинается с запуска проекта, который получает данные из различных удаленных источников, включая сервер, находящийся под контролем Slow Pisces. Этот сервер имитирует легитимные ресурсы, чтобы избежать обнаружения:

  • Сначала пользователю предоставляются безопасные данные.
  • Затем происходит доставка вредоносной полезной нагрузки.

Использование технологий для сокрытия вредоносной активности

Slow Pisces применяет современные технологии для маскировки своей деятельности. Например, они используют десериализацию YAML для выполнения угроз без привлечения внимания со стороны систем безопасности. Загрузчик RN создает временные файлы на компьютере жертвы, которые удаляются после выполнения, оставляя минимальные следы.

Сбор информации и контроль за жертвами

После заражения, RN Stealer собирает жизненно важную информацию из системы жертвы, включая:

  • Учётные данные пользователей.
  • Файлы конфигурации для критически важных облачных сервисов.

Этот процесс осуществляется через зашифрованные токены и протокол HTTPS, что усложняет анализ вредоносного трафика.

Адаптация к новым угрозам

Группа Slow Pisces быстро адаптируется к целям, основанным на JavaScript, применяя аналогичные методологии для атак на проекты, такие как Cryptocurrency Dashboard. Это сочетание легитимного кода и акцента на популярные языки программирования делает их угрозы особенно опасными для начинающих разработчиков, которые могут не распознать зловредные намерения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: