Группа Lazarus — известная хакерская группировка, связанная с правительством Северной Кореи. Она долгое время атакует компании и частных лиц в сфере криптовалют. Группу связывают со взломом таких платформ, как Phemex, WazirX, Bybit, Stake и других.
Наша команда безопасности часто реагирует на попытки атак, многие из которых используют методы или инфраструктуру, связанные с группой Lazarus.
Основные методы атак
Характерной чертой их крупных операций является использование относительно простых методов, часто начиная с фишинга, чтобы закрепиться в системах своих жертв.
Например, при взломе Bybit группа обманом заставила сотрудника Safe Wallet запустить вредоносный код на своём компьютере, чтобы получить первоначальный доступ. После этого более сложная часть группы продолжила работу, получив доступ к учётной записи AWS Safe и изменив исходный код кошелька, что привело к краже холодных кошельков.
Структура группы
В последние годы группа разделилась на несколько подгрупп, которые не обязательно обладают одинаковой технической изощрённостью. Это можно наблюдать по многочисленным задокументированным примерам плохих практик, исходящих от этих «передовых» групп, которые осуществляют атаки социальной инженерии, по сравнению с более изощрёнными методами пост-эксплойта, применяемыми в некоторых из этих известных взломов.
Атака на сотрудника BitMEX
Недавно сотруднику BitMEX предложили сотрудничество по проекту «NFT Marketplace» через LinkedIn. Этот предлог был похож на другие атаки, распространённые в этой отрасли, поэтому сотрудник заподозрил, что это попытка обманом заставить его запустить вредоносный код на своём устройстве. Он предупредил команду безопасности, которая провела расследование, чтобы понять, как работает эта кампания и как от неё защититься.
Анализ кода
Сотруднику было предложено запустить проект в частном репозитории GitHub, который содержал код для веб-сайта Next.js/React. Цель состояла в том, чтобы заставить жертву запустить проект, включающий вредоносный код, на своём компьютере. После нескольких минут изучения репозитория (просто поиска «eval»), мы обнаружили несколько подозрительных фрагментов кода:
- Первый вызов функции eval был закомментирован, что позволяет предположить, что этот код использовался в предыдущей кампании или был более старой версией вредоносного кода, который распространялся.
- Второй вызов eval не был закомментирован. Код здесь отправляет HTTP-запрос к определённому домену, который ранее был приписан группе Lazarus компанией Palo Alto’s Unit 42.
Инструменты для анализа
Для анализа кода мы использовали инструмент webcrack, который позволяет деобфусцировать код JavaScript. Это дало нам немного более удобочитаемую версию кода.
Результаты анализа
Этот файл JavaScript выглядел как результат объединения трёх разных скриптов. Мы видим несколько блоков кода, которые разделяют различные этапы вредоносного ПО.
Вторая часть скрипта содержала строки, которые были похожи на то, что мы ожидаем от программы-вора учётных данных: ссылки на идентификаторы расширений Chrome и других браузеров.
Дальнейший анализ
После подтверждения того, с кем мы имеем дело, мы решили продолжить деобфускацию кода, чтобы найти индикаторы компрометации (IoCs), которые можно было бы добавить в наши внутренние инструменты.
Заключение
Расследование кампании группы Lazarus показывает резкий контраст между их стратегиями начального уровня фишинга и продвинутыми методами пост-эксплойта. Случайное обнаружение базы данных Supabase выявило не только их методы отслеживания, но и значительные пробелы в оперативной безопасности, такие как утечка китайских IP-адресов, предлагая интересные сведения о внутренней работе группы.
Контактная информация
Если вы хотите связаться с нами по этому вопросу или вас интересует идея работы в организации, которая расследует подобные атаки, свяжитесь с security-research at bitmex dot com.
Индикаторы компрометации (IoCs)
- URL Supabase: https://mkswbddldpyiqkyu.supabase.co/
- URL C2: http://144.172.96.35/
Угрожающие субъекты
- Victor@3-KZH: 107.182.231.193, 107.182.231.196, 120.226.22.28, 184.174.5.149, 223.104.144.97, 31.13.189.10, 31.13.189.178, 37.120.216.226, 38.134.148.94, 45.141.153.154, 89.116.158.156, 89.116.158.164, 89.116.158.188, 89.116.158.228, 89.116.158.68
- Victor@3-KZH-1: 107.182.231.196, 31.13.189.10, 31.13.189.26, 38.132.106.130, 45.141.153.130, 89.116.158.156, 89.116.158.228, 89.116.158.68, 89.116.158.84
- GHOST72@3-UJS-2: 108.181.57.127, 195.146.5.31, 199.168.113.31, 89.187.185.11
- И другие…
Не является инвестиционной рекомендацией.