СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:24
#ИБ

Стилер VELVET CHOLLIMA атакует криптотрейдеров через GitLab

Недавняя кампания стиллеров, приписываемая связанному с КНДР actorу VELVET CHOLLIMA, использует поддельное приложение для торговли криптовалютой Tralert FX. По данным отчета, злоумышленники распространяют вредоносное ПО через установщик MSI, который запускает многомодульный стиллер с крайне низким уровнем обнаружения: всего 3 из 52 антивирусных движков. Кампания сочетает маскировку под легитимный software, использование действительных EV code-signing certificates и автоматизированную эксфильтрацию данных через GitLab.

Как работает схема заражения

Основной приманкой стало приложение Tralert FX, выдающее себя за платформу для торговли криптовалютой. После запуска MSI-установщик разворачивает набор вредоносных компонентов, которые действуют согласованно и без лишнего шума. Такой подход помогает обходить традиционные средства защиты и затрудняет расследование инцидента.

Отдельного внимания заслуживает использование valid code-signing certificates, якобы выданных через компанию-фронтера AgilusTech LLC. Наличие подписи повышает видимость легитимности файла и снижает вероятность немедленного срабатывания защитных механизмов.

Трехкомпонентная архитектура вредоносного ПО

Набор вредоносного ПО имеет модульную структуру и включает три ключевых элемента:

  • system reconnaissance — сбор сведений о зараженной системе;
  • keylogger — перехват вводимых данных;
  • browser credential stealer — кража учетных данных из браузеров.

Все компоненты настроены на автоматическую передачу данных через репозитории GitLab. Вредоносная нагрузка отправляет украденную информацию каждые 30 minutes посредством автоматических git-commits, маскируя активность под обычный трафик разработчиков. Таким образом злоумышленники используют GitLab как инфраструктуру для скрытной коммуникации и эксфильтрации данных.

Масштаб операции и приоритетные цели

На момент обнаружения кампания уже затронула more than 90 hosts и привела к выполнению over 4100 commits. Приоритетной целью были crypto-traders, что указывает на попытку захвата аккаунтов с прямой финансовой ценностью.

Однако интерес акторов не ограничивается только криптовалютными кошельками и биржевыми учетными записями. Отмечается также нацеленность на professional networks, что расширяет потенциальный радиус ущерба до кражи персональных данных и возможной компрометации business email.

Техники закрепления и сокрытия

Для закрепления на зараженных машинах применяются более продвинутые приемы, включая:

  • encrypted PowerShell loaders;
  • scheduled tasks, в том числе TimeZoneRegister.

Эти механизмы позволяют сохранять присутствие в системе и автоматически возобновлять вредоносную активность после перезагрузки или простоя.

Значимым элементом операции стала и manual triage system для данных жертв. Похищенная информация раскладывалась по организованным папкам, что указывает на участие человека в приоритизации целей по предполагаемой ценности. Такая детальная сортировка свидетельствует о системном подходе, а не о полностью автоматизированной кампании.

Инфраструктура и operational security

Для распространения вредоносной нагрузки злоумышленники зарегистрировали множество lookalike domains, имитирующих легитимные торговые платформы. Это обеспечивало и резервирование инфраструктуры, и более широкий охват потенциальных жертв.

Актор демонстрировал moderate operational security: применялись ротация tokens и разделение инфраструктуры между несколькими аккаунтами. Вместе с тем были допущены и серьезные ошибки — в code были встроены учетные данные доступа, а один C2 IP address использовался на протяжении всей операции.

«Этот модульный и систематический подход, в сочетании с мотивацией, основанной на финансовой выгоде, подчеркивает постоянную угрозу, исходящую от сложных групп киберпреступников», — следует из материалов отчета.

Почему эта кампания важна

История с Tralert FX показывает, как злоумышленники адаптируют свои методы под актуальные тренды цифровой экономики. В данном случае ставка сделана на криптовалютный сектор, где высока ценность аккаунтов, а доверие к новым платформам и приложениям может сыграть против пользователя.

Сочетание signed malware, многоуровневой архитектуры, эксфильтрации через GitLab и использования доменов-двойников делает эту кампанию особенно опасной. Она демонстрирует, что современные группировки способны одновременно эксплуатировать технические уязвимости, социальную инженерию и инфраструктурные обходные маневры, чтобы скрыть реальную природу атаки.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: