В последние годы киберугрозы в сфере криптовалют приобрели новый, более изощренный уровень, в частности благодаря деструктивным действиям группировок, таким как BlueNoroff. Этот объединенный с Северной Кореей угрозный актер специализируется на атаках против финансовых учреждений, криптокомпаний и исследовательских организаций Web3. Недавняя атака BlueNoroff оказалась особенно примечательной, поскольку ловко использовала deepfake-технологии для проведения обмана сотрудников с помощью поддельных видеоконференций Zoom, чтобы внедрить в macOS-зависимые устройства вредоносное ПО с функцией обратной двери. Раскрытие данной операции произошло благодаря исследованиям компании Huntress, специализирующейся на анализе киберинцидентов. Отмечено, что цель атаки – сотрудник криптовалютного фонда, контактировавший с злоумышленниками через Telegram.
Взломщик использовал продуманные социальные методы, отправляя жертве сообщение с предложением назначить время разговора через сервис Calendly. Однако ссылка, якобы ведшая на Google Meet, перенаправляла пользователя на поддельный домен Zoom, контролируемый атакующими. После нескольких недель переписки и организации, жертва присоединилась к групповому звонку, где с помощью deepfake-аватаров были сымитированы руководители компании и внешние контакты. Этот шаг повысил доверие и снизил подозрительность сотрудника, усиливая эффективность атаки. Важной особенностью стало использование неофициального фавикона Zoom, размещённого вне официальной инфраструктуры, что свидетельствует о попытке создать иллюзию аутентичности.
В ходе звонка сотрудник сообщил о проблемах с микрофоном, после чего фальшивые участники убедили его установить расширение Zoom, которое на самом деле было вредоносным AppleScript. Этот скрипт начинал свою работу с загрузки легитимной веб-страницы Zoom SDK, однако параллельно загружал и выполнял скрытый шелл-скрипт с удалённого сервера. Данный шелл-скрипт отключал логирование пользовательских команд в bash, проверял наличие Rosetta 2 — программного слоя, позволяющего запускать Intel-приложения на Mac с процессорами Apple Silicon — и при необходимости запускал его установку. Затем вредоносное ПО создавал скрытый файл и загружал несколько бинарных файлов в системный каталог /tmp/icloud_helper, включая основной бэкдор, инструменты для внедрения, кейлоггер и програмное обеспечение для кражи данных из криптокошельков. Для выполнения полной компрометации система также просила пользователя ввести пароль, что позволяло получить более высокий уровень прав и обезопасить действия от форензического анализа благодаря очистке истории команд.
Среди вредоносных компонентов были обнаружены несколько частей: бинарный файл на Nim, запускающий бэкдор; основной бэкдор, написанный на Go, способный выполнять удалённые скрипты; эксплойт для внедрения кода через Dyld; мониторинг активности клавиатуры, буфера обмена и экрана на Objective-C; а также инструмент для сбора и кражи криптовалютной информации. Интересно, что сама группировка BlueNoroff известна под множеством синонимов, включая Alluring Pisces, APT38 и TA444, что отражает её долгую историю проведения кибератак на финансовую сферу. Она входит в структуру более крупной Lazarus Group, которая зарекомендовала себя как одна из самых эффективных в кибершпионаже и серийных операциях по краже цифровых активов. Современные операции BlueNoroff развиваются на базе предыдущих кампаний, таких как TraderTraitor, нацеленных на кражу криптовалюты через вредоносные торговые приложения, и охватывающих такие известные инциденты, как взломы Bybit и Axie Infinity. Параллельно с техническими средствами атаки важным фактором остаётся социальная инженерия, с фокусом на удалённых сотрудников, которые чаще подвержены целевым угрозам, исходящим из сферы удалённой работы и использованию ПО для организации встреч.
Sub-группы Lazarus, такие как Jade Sleet и CryptoCore, продолжили эволюцию и разделение миссий, адаптируясь под новые рыночные условия и внося коррективы в тактики проникновения. Важным элементом защиты организаций является грамотное обучение сотрудников тонкостям подобных атак, чтобы минимизировать риск заражения внутренней инфраструктуры через внешние обращения и манипуляции с программным обеспечением. Также в контексте актуальных киберугроз можно отметить развитие новых вариантов вредоносных программ, включая Go-базированный GolangGhost и его Python-ответвление PylangGhost, которые активно эксплуатируют темы с якобы техническими проблемами аудио или видеооборудования для обмана пользователей. Эти инструменты способны собирать обширные данные с заражённых систем, включая куки, данные браузеров и криптокошельки. Помимо криптовалюты, подобные подходы используются для масштабного сбора информации, которая затем может применяться для дальнейших атак или вымогательства.
