Експерти з кібербезпеки виявили нову масштабну кампанію північнокорейського хакерського угруповання Lazarus. Зловмисники використали складну схему з застосуванням шкідливого сайту псевдо-DeFi гри та експлуатацією вразливості нульового дня в браузері Google Chrome для атак на користувачів по всьому світу.
Виявлення нової версії бекдору Manuscrypt
У травні 2024 року дослідники виявили новий варіант бекдору Manuscrypt на комп’ютері клієнта в Росії. Manuscrypt – це потужний інструмент, який група Lazarus використовує з 2013 року для атак на різноманітні організації, включаючи урядові установи, фінансові інститути та компанії у сфері IT і телекомунікацій. Цей бекдор дозволяє зловмисникам отримувати віддалений доступ до заражених систем та викрадати конфіденційні дані.
Шкідливий сайт DeFi-гри як приманка
Розслідування показало, що джерелом зараження став сайт detankzone[.]com, який рекламував танкову MOBA-гру DeTankZone на основі NFT. Гра позиціонувалася як проект Play-To-Earn, обіцяючи винагороди в криптовалюті за віртуальні битви. Однак функціональність гри обмежувалася екраном входу, а внутрішня інфраструктура була відключена. Це класичний приклад соціальної інженерії, де зловмисники використовують популярність криптовалют та NFT для приваблення потенційних жертв.
Крадіжка вихідного коду реальної гри
Дослідники виявили, що хакери використали викрадений вихідний код реальної гри DeFiTankLand, змінивши логотип та видаливши згадки про оригінальний проект. Припускається, що Lazarus також викрала 20 000 доларів у криптовалюті з гаманця розробників оригінальної гри. Це демонструє комплексний підхід зловмисників, які не лише створюють фальшиві проекти, але й атакують легітимні компанії у сфері криптовалют.
Експлуатація вразливості нульового дня в Chrome
Ключовим елементом атаки стала експлуатація вразливості CVE-2024-4947 у браузері Google Chrome. Ця 0-day вразливість дозволяла отримати контроль над пристроєм жертви, виконувати довільний код та обходити захисні механізми. Для зараження було достатньо просто відвідати шкідливий сайт, не вимагаючи запуску самої гри. Це підкреслює важливість своєчасного оновлення браузерів та інших програмних продуктів.
Додаткові вектори атаки
Хакери також використовували вразливість для обходу пісочниці V8 в Chrome (проблема 330404819, виправлена в березні 2024 року). Після успішної експлуатації, шкідливий код збирав інформацію про систему жертви та відправляв дані на сервери зловмисників. Це дозволяло Lazarus створювати детальні профілі цілей та планувати подальші, більш цілеспрямовані атаки.
Масштаб та наслідки кампанії
Група Lazarus активно просувала фальшиву гру в соціальних мережах, використовувала фішингові листи та преміум-акаунти LinkedIn для цільових атак. Ця кампанія демонструє зростаючу складність та амбіційність кібератак, потенційно загрожуючи користувачам та організаціям у всьому світі. Особливу небезпеку становить комбінація соціальної інженерії, експлуатації технічних вразливостей та використання популярних трендів у сфері криптовалют та блокчейну.
Цей інцидент підкреслює важливість постійної пильності в питаннях кібербезпеки. Користувачам рекомендується регулярно оновлювати браузери та операційні системи, з обережністю ставитися до підозрілих посилань та завантажень, особливо пов’язаних з криптовалютними проектами. Організаціям слід посилити заходи захисту, включаючи використання передових систем виявлення загроз, проведення регулярних тренінгів з кібербезпеки для співробітників та впровадження багатофакторної автентифікації. Лише комплексний підхід до кібербезпеки може забезпечити ефективний захист від сучасних складних атак, подібних до кампанії Lazarus.
