- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 7ч 36м
- Сделки
- 251
- Нарушения
- 0 / 0
Согласно новому отчету ИБ-компании Volexity, северокорейская хакерская группа Lazarus проводит новую кампанию, распространяя поддельные криптовалютные приложения под вымышленным брендом «BloxHolder» для установки вредоносного ПО AppleJeus, чтобы получить начальный доступ к сетям и украсть криптоактивы.
Новая кампания Lazarus началась в июне 2022 года и действовала как минимум до октября 2022 года. В этой кампании злоумышленники использовали домен «bloxholder[.]com», клон автоматизированной платформы для торговли криптовалютой HaasOnline.
Фишинговый сайт распространял MSI-установщик Windows, который выдавал себя за приложение BloxHolder. На самом деле это было северокорейское вредоносное ПО для кражи криптовалюты AppleJeus, которое доставляется под видом легитимного приложения для торговли биткоином QT Bitcoin Trader.
После установки через цепочку заражения MSI AppleJeus создает запланированную задачу и помещает дополнительные файлы в папку «%APPDATA%\Roaming\Bloxholder\». Затем вредоносное ПО отправляет на сервер управления и контроля (C&C) через POST-запрос следующую информацию о системе:
- MAC-адрес;
- имя компьютера;
- версия ОС.
Также в недавних кампаниях группировка использует технику DLL Sideloading для установки вредоносного ПО из доверенного процесса, избегая обнаружения AV-систем.
Исследователи Volexity заявили, что причина, по которой Lazarus выбрала технику DLL Sideloading неясна, но может заключаться в том, чтобы препятствовать анализу вредоносного ПО.
Еще одна новая особенность последних образцов AppleJeus заключается в том, что все его строки и вызовы API теперь запутываются с помощью специального алгоритма, что делает их более незаметными для продуктов безопасности.
