Хакеры Lazarus продолжают охоту на Крипто

Группировка киберпреступников Lazarus по-прежнему нацелена на криптовалюты и применяет новую тактику, согласно новому отчету антивирусной компании Лаборатория Касперского.

В отчете говорится, что предположительно спонсируемая Северной Кореей хакерская группа Lazarus возобновила деятельность с ноября прошлого года. По сообщениям, теперь группа использует инструмент PowerShell, который позволяет хакерам заражать вредоносными программами Windows и macOS и управлять ими.

Группировка Lazarus разработала собственные сценарии PowerShell, которые взаимодействуют со злонамеренными серверами C2 и выполняют команды оператора. Имена сценариев сервера C2, в свою очередь, неверно представлены как файлы WordPress и другие проекты с открытым исходным кодом. После создания сеанса управления на сервере вредоносное ПО может загружать и выгружать файлы, обновлять конфигурацию вредоносного ПО и собирать основную информацию о хосте.

Лаборотория отмечает, что хакеры все еще нацелены на системы, связанные с криптовалютой и финтех-индустрию, и советует участникам этих секторов проявлять осторожность:

Если вы являетесь частью процветающей индустрии криптовалют или технологических стартапов, будьте особенно осторожны при работе с новыми сторонними разработчиками или при установке программного обеспечения в своих системах. Никогда не включайте макрос-сценарии в полученных Microsoft Office документах из новых или ненадежных источников.

Как сообщалось ранее, Lazarus предположительно несет ответственность за кражу 571 миллиона долларов из 882 миллионов долларов в криптовалюте, которые были украдены с онлайн-бирж в 2017–2018 годах; почти 65% от общей суммы краж. Из 14 отдельных нарушений безрпасности бирж, пять были осуществленны именно этой группировкой, среди них рекордный в отрасли взлом Coincheck на 532 миллиона долларов.

Читайте по теме: Северная Корея украла $571 млн. с азиатских криптобирж

Ранее мы писали, что Северная Корея, по сообщениям, накопила 670 миллионов долларов в виде фиата и криптовалют, проводя хакерские атаки, в которых были атакованы зарубежные финансовые учреждения с 2015 по 2018 год и якобы использовали блокчейн «для покрытия своих следов».