Эксперты «Лаборатории Касперского» раскрыли детали масштабной кибератаки, проведенной северокорейской хакерской группировкой Lazarus. Злоумышленники использовали сложную схему с применением вредоносного сайта DeFi-игры и эксплуатацией уязвимости нулевого дня в браузере Google Chrome для атак на пользователей по всему миру.
Обнаружение новой версии бэкдора Manuscrypt
В мае 2024 года исследователи обнаружили новый вариант бэкдора Manuscrypt на компьютере клиента в России. Manuscrypt — это мощный инструмент, используемый группой Lazarus с 2013 года для атак на различные организации, включая правительственные учреждения, финансовые институты и компании из сферы IT и телекоммуникаций.
Вредоносный сайт DeFi-игры как приманка
Расследование показало, что источником заражения стал сайт detankzone[.]com, рекламировавший танковую MOBA-игру DeTankZone на основе NFT. Игра позиционировалась как проект Play-To-Earn, обещая награды в криптовалюте за виртуальные сражения. Однако функциональность игры ограничивалась экраном входа, а внутренняя инфраструктура была отключена.
Кража исходного кода реальной игры
Исследователи обнаружили, что хакеры использовали украденный исходный код реальной игры DeFiTankLand, изменив логотип и удалив упоминания оригинального проекта. Предполагается, что Lazarus также похитила 20 000 долларов в криптовалюте с кошелька разработчиков оригинальной игры.
Эксплуатация уязвимости нулевого дня в Chrome
Ключевым элементом атаки стала эксплуатация уязвимости CVE-2024-4947 в браузере Google Chrome. Эта 0-day уязвимость позволяла получить контроль над устройством жертвы, выполнять произвольный код и обходить защитные механизмы. Для заражения было достаточно просто посетить вредоносный сайт, не требуя запуска самой игры.
Дополнительные векторы атаки
Хакеры также использовали уязвимость для обхода песочницы V8 в Chrome (проблема 330404819, исправленная в марте 2024 года). После успешной эксплуатации, вредоносный код собирал информацию о системе жертвы и отправлял данные на серверы злоумышленников.
Масштаб и последствия кампании
Группа Lazarus активно продвигала фальшивую игру в социальных сетях, использовала фишинговые письма и премиум-аккаунты LinkedIn для целевых атак. Эта кампания демонстрирует растущую сложность и амбициозность кибератак, потенциально угрожая пользователям и организациям во всем мире.
Данный инцидент подчеркивает важность постоянной бдительности в вопросах кибербезопасности. Пользователям рекомендуется регулярно обновлять браузеры и операционные системы, с осторожностью относиться к подозрительным ссылкам и загрузкам, особенно связанным с криптовалютными проектами. Организациям следует усилить меры защиты, включая использование передовых систем обнаружения угроз и проведение регулярных тренингов по кибербезопасности для сотрудников.
