Атака группы Lazarus на криптоэкспертов
Группа Lazarus из Северной Кореи использует вредоносное ПО для macOS под названием «Mach-O Man» и поддельные приглашения на встречи, чтобы атаковать криптоэкспертов и финансировать девятизначные кражи в сфере DeFi. Lazarus, поддерживаемая государством хакерская группа, запустила новую кампанию, нацеленную на руководителей в области финансовых технологий и криптовалют, согласно данным компании по безопасности блокчейна CertiK.
Методы атаки
Операция, получившая название «Mach-O Man», сочетает в себе социальную инженерию и терминальные загрузки для кражи криптовалюты и конфиденциальных корпоративных данных, оставляя при этом почти никаких следов на диске. Исследователи CertiK сообщают, что кампания использует технику ClickFix, при которой жертвы заманиваются в выполнение команд, которые выглядят как «ремонт» или «проверка», непосредственно в терминале macOS во время поддельной поддержки или встреч.
«В данном случае приманки приходят в виде фальшивых приглашений на онлайн-встречи, которые обманывают жертв, заставляя вставлять вредоносные команды ремонта в терминалы Mac».
Инструментарий автоматически удаляется после использования, чтобы затруднить судебно-медицинскую экспертизу, отмечает анализ CertiK. Согласно данным компании по разведке угроз SOC Prime, фреймворк «Mach-O Man» связан с известным подразделением Lazarus Famous Chollima и распространяется через скомпрометированные аккаунты Telegram и поддельные приглашения на встречи, нацеленные на высокоценные крипто- и финансовые организации.
Технические детали
Инструментарий, по данным CoinDesk, включает несколько бинарных файлов Mach-O, предназначенных для профилирования хоста, установления постоянного доступа и эксфильтрации учетных данных и данных браузера через командный и контрольный центр на базе Telegram. Mandiant из Google Cloud ранее описывал аналогичные кампании для macOS, смешивающие ClickFix с видео-дезинформацией на основе ИИ, поддельными звонками в Zoom и захваченными учетными записями сообщений, чтобы заставить цели выполнять запутанные команды.
«Кампания использовала скомпрометированный аккаунт Telegram, поддельную встречу в Zoom и обман на основе ИИ, чтобы обмануть жертв, заставляя их выполнять терминальные команды, что привело к цепочке инфекций для macOS».
Последствия атак
Исследователь CertiK Натали Ньюсон связала последнюю волну «Mach-O Man» с более широкой атакой Lazarus, которая за две недели похитила более 500 миллионов долларов с платформ DeFi Drift и KelpDAO. В этих инцидентах Lazarus якобы сочетал социальную инженерию против торговой компании с сложной кросс-цепной уязвимостью, которая позволила злоумышленникам создать примерно 116,500 rsETH и вывести около 292 миллионов долларов в эквиваленте.
LayerZero, предоставляющий инфраструктуру моста, используемую KelpDAO, заявил, что группа Lazarus из Северной Кореи является «вероятным исполнителем» кросс-цепной уязвимости rsETH и обвинила дизайн с единой точкой отказа в том, что он позволил подделать кросс-цепное сообщение.
«Lazarus на протяжении многих лет нацеливается на экосистему криптовалют, похитив примерно 2 миллиарда долларов в виртуальных активах в 2023 и 2024 годах».
Издание SecurityWeek ссылается на предыдущие кампании с поддержкой ClickFix. Поскольку DeFi уже страдает от того, что исследовательские агентства назвали его худшим месяцем в истории по количеству взломов, рынки теперь фактически закладывают еще одну уязвимость на сумму более 100 миллионов долларов в этом году, подчеркивая, как государственно-связанные злоумышленники, такие как Lazarus, стали системной угрозой для крипто-риска.
