Группа Lazarus, связанная с Северной Кореей, изменила свои тактики, нацелившись на соискателей в секторе криптовалют, особенно в области централизованных финансов (CeFi), с использованием метода, названного 'ClickFix'. Этот новый подход является адаптацией их предыдущей кампании 'Contagious Interview', теперь сосредоточенной на нетехнических ролях, таких как маркетинг и развитие бизнеса, выдавая себя за крупные крипто-компании. Группа создает поддельные порталы для подачи заявок на работу, чтобы привлечь кандидатов, побуждая их запускать команды PowerShell под предлогом устранения неполадок, что приводит к загрузке вредоносного ПО. Эта тактика использует профессиональные амбиции людей на рынке крипто-работы. Кроме того, ФБР приписывает атакe на Bybit на сумму 1.5 миллиарда долларов действиям Lazarus, где поддельные предложения о работе использовались для установки вредоносного ПО на компьютеры сотрудников.

SEKOIA

Недавний отчет по кибербезопасности от Sekoia выявил развивающуюся угрозу со стороны группы Lazarus, известной хакерской группировки, связанной с Северной Кореей. В данный момент она использует тактику, известную как "ClickFix", чтобы нацелиться на соискателей работы в секторе криптовалют, особенно в рамках централизованных финансов (CeFi).Этот подход является адаптацией ранее использованной группой кампании "Contagious Interview", которая была направлена на разработчиков и инженеров в области искусственного интеллекта и связанных с криптовалютами ролей.<h2>Lazarus использует криптовалютные вакансии</h2>В новой кампании группа Lazarus сместила акцент на нетехнических специалистов, таких как сотрудники по маркетингу и бизнес-развитию, выдавая себя за крупные криптокомпании, такие как Coinbase, KuCoin, Kraken и даже эмитент стейблкоинов Tether.Злоумышленники создают поддельные вебсайты, имитирующие порталы для подачи заявок на работу, и заманивают кандидатов поддельными приглашениями на собеседования. Эти сайты часто содержат реалистичные формы заявок и даже запросы на видео-вступления, создавая ощущение легитимности.Однако, когда пользователь пытается записать видео, ему показывается поддельное сообщение об ошибке, которое обычно указывает на сбой веб-камеры или драйвера. Затем страница предлагает пользователю выполнить команды PowerShell под предлогом устранения неполадок, тем самым запускается загрузка вредоносного ПО.Этот метод ClickFix, хоть и относительно новый, становится все более распространенным благодаря своей психологической простоте — пользователи верят, что они решают техническую проблему, а не запускают вредоносный код. Согласно Sekoia, в кампании использованы материалы из 184 поддельных приглашений на собеседование, упоминающих как минимум 14 известных компаний для повышения доверия.Таким образом, последняя тактика демонстрирует растущую сложность группы Lazarus в области социального инжиниринга и ее способность эксплуатировать профессиональные амбиции людей в конкурентном рынке криптовалютных вакансий. Интересно, что этот сдвиг также предполагает, что группа расширяет свои критерии целевой аудитории, нацеливаясь не только на тех, кто имеет доступ к коду или инфраструктуре, но и на тех, кто может иметь дело с конфиденциальными внутренними данными или непреднамеренно способствовать нарушениям безопасности.Несмотря на появление ClickFix, Sekoia сообщила, что оригинальная кампания Contagious Interview остается активной. Параллельное использование стратегий предполагает, что государственная поддержка Северной Кореи может тестировать их относительную эффективность или адаптировать тактики под разные целевые группы. В обоих случаях кампании имеют одну и ту же цель — доставить вредоносное ПО для кражи информации через доверенные каналы и манипулировать жертвами, заставляя их самоинфицироваться.<h2>Lazarus за взломом Bybit</h2>Федеральное бюро расследований (FBI) официально приписало атаку на Bybit стоимостью 1.5 миллиарда долларов группе Lazarus. Хакеры, нацеленные на криптобиржу, использовали поддельные предложения о работе, чтобы обмануть сотрудников и заставить их установить зараженное торговое программное обеспечение, известное как "TraderTraitor".Хотя оно было разработано так, чтобы выглядеть подлинным с помощью кросс-платформенной разработки на JavaScript и Node.js, приложения содержали вредоносное ПО, предназначенное для кражи приватных ключей и выполнения незаконных транзакций в блокчейне.

Группа Lazarus нацелилась на соискателей работы в области CeFi с помощью вредоносного ПО 'ClickFix'.