Эксперты из глобального центра исследований (Kaspersky Global Research and Analysis Team, GReAT) на конференции Security Analyst Summit рассказали об активности APT-группы BlueNoroff, которую мы считаем подгруппой Lazarus. В частности, они детально описали две кампании, целью которых являются атаки на разработчиков и руководителей из криптоиндустрии, — GhostCall и GhostHire. Цели выбираются тщательно: злоумышленники явно готовятся к каждой атаке.
Злоумышленники из BlueNoroff интересуются преимущественно финансовой выгодой и в данный момент предпочитают атаковать сотрудников организаций, работающих с блокчейном. Кампании GhostCall и GhostHire сильно отличаются друг от друга, однако зависят от общей инфраструктуры управления, почему наши эксперты и объединили их в рамках одного доклада.
Кампания GhostCall
Целями кампании GhostCall в основном являются руководители разнообразных организаций. Злоумышленники пытаются заразить их компьютеры зловредами, которые служат для воровства криптовалюты, учетных данных и секретов, с которыми могут работать жертвы. Что интересно, основная платформа, которой интересуются операторы GhostCall, — macOS, вероятно, потому, что устройства Apple особенно популярны у руководящего звена современных компаний.
Атаки GhostCall начинаются с достаточно сложной социальной инженерии: злоумышленники притворяются инвесторами (иногда используя угнанные учетные записи реальных предпринимателей и даже фрагменты реальных видеозвонков с их участием) и пытаются назначить встречу для переговоров о партнерстве или инвестировании. Цель — заманить жертву на сайт, имитирующий Microsoft Teams или Zoom. Там используется стандартный трюк — сайт выводит нотификацию о необходимости обновления клиента или устранения какой-нибудь технической проблемы. Для этого предлагается скачать и запустить файл, что и приводит к заражению компьютера.
Подробности о различных вариантах цепочек заражения (а их в этой кампании не меньше семи, причем четыре из них ранее нашим экспертам не встречались) вместе с индикаторами компрометации можно найти в блоге на сайте Securelist.
Кампания GhostHire
GhostHire — это кампания, нацеленная на разработчиков, работающих с блокчейном. Конечная цель та же — заразить компьютеры зловредами, однако уловка используется другая. В данном случае злоумышленники заманивают жертву предложением новой работы на выгодных условиях. В ходе переговоров они выдают разработчику адрес телеграм-бота, который снабжает жертву ссылкой на GitHub с тестовым заданием или же предлагает скачать архив. Чтобы у разработчика не осталось времени на обдумывание, задание имеет достаточно жесткий дедлайн. В процессе выполнения теста компьютер жертвы заражается зловредом.
Инструменты, используемые злоумышленниками в кампании GhostHire, и их индикаторы компрометации также можно найти в посте в блоге Securelist.
Как защититься от атак типа GhostCall и GhostHire
Хотя целями GhostCall и GhostHire являются конкретные разработчики и руководители компаний, интересует злоумышленников в первую очередь рабочая инфраструктура. Поэтому задача по защите от этих атак ложится на плечи корпоративных ИБ-специалистов. Мы рекомендуем:
Периодически повышать осведомленность всех сотрудников компаний об уловках современных злоумышленников. Причем тренинги должны учитывать специфику работы конкретных специалистов, в том числе разработчиков и руководителей. Организовать такое обучение можно при помощи специализированной онлайн-платформы, такой, например, как Kaspersky Automated Security Awareness Platform.
Использовать современные защитные решения на всех корпоративных устройствах, с которых сотрудники могут общаться с внешним миром.
Бизнес — Блог Касперского
