Tim za globalno istraživanje i analizu (GReAT) kompanije Kaspersky 2018. godine objavio je nalaze o AppleJeus – operaciji koju je sproveo akter pretnje, grupa Lazarus, i koja za cilj ima krađu kriptovaluta. Sada, novi nalazi pokazuju da zloglasni akter pretnje pažljivijim koracima nastavlja operaciju, unapređenim taktikama i procedurama i upotrebom Telegrama kao jednog od novih vektora napada. Žrtve u Velikoj Britaniji, Poljskoj, Rusiji i Kini, uključujući nekoliko povezanih sa poslovnim subjektima kriptovaluta, pogođeni su tokom napada.
Grupa Lazarus je jedna od najaktivnijih i najunosnijih aktera naprednih upornih pretnji (APT) koja je sprovela brojne kampanje koje targetiraju organizacije povezanie sa kriptovalutama. Tokom svoje početne operacije AppleJeus u 2018. godini, akter pretnji je stvorio lažnu kompaniju za kriptovalute kako bi isporučio lažnu aplikaciju i iskoristio visok nivo poverenja među potencijalnim žrtvama. Ovu operaciju je obeležila grupa Lazarus koja je izgradila svoj prvi macOS malver. Aplikaciju su korisnici preuzeli sa veb-sajtova treće strane, a malver je isporučen putem redovnog ažuriranja aplikacije. To je napadaču omogućilo da dobije potpunu kontrolu nad korisnikovim uređajem i ukrade kriptovalute.
Istraživači kompanije Kaspersky identifikovali su značajne promene u taktici napada grupe u „nastavku” operacije. Vektor napada u napadu 2019. oponašao je onaj iz prethodne godine, ali uz određena poboljšanja. Ovog puta, grupa Lazarus je kreirala lažne veb-sajtove povezane sa kriptovalutama, koji su ugostili linkove koji vode do lažnih organizacija Telegram kanala i isporučivale malver preko poruka.
Baš kao u prvobitnoj operaciji AppleJeus, napad se sastojao od dve faze. Korisnici bi najpre preuzeli aplikaciju, zatim bi se automatski preuzeo malver sa udaljenog servera, što bi konačno omogućilo napadaču da u potpunosti kontroliše zaraženi uređaj trajnim bekdorom. Međutim, ovog puta je malver dostavljen pažljivo kako bi se izbeglo otkrivanje od strane bihevioralnih rešenja za detekciju. U napadima na macOS mete dodat je mehanizam za potvrdu identiteta za preuzimanje macOS i razvojni frejmvork je promenjen. Pored toga, ovog puta je usvojena fileless tehnika infekcije. Prilikom ciljanja Windows korisnika, napadači su izbegli upotrebu Fallchill malvera (koji je korišćen u prvoj operaciji AppleJeus) i stvorili su malver koji se pokrenuo samo na određenim sistemima nakon što je proverio set zadatih vrednosti. Ove promene pokazuju da je akter pretnje postao pažljiviji u svojim napadima, koristeći nove metode kako ne bi bio otkriven.
Grupa Lazarus je takođe napravila značajne izmene u macOS malveru i proširila broj verzija. Za razliku od prethodnog napada tokom kog je grupa Lazarus koristila open source QtBitcoinTrader da bi napravila instalacioni program za macOS, tokom nastavka operacije AppleJeus, akter pretnji je počeo da koristi svoj domaći kod kako bi napravio zlonamerni instalater. Ovi događaji znače da će akter pretnje nastaviti da stvara modifikacije macOS malvera.
„Nastavak operacije AppleJeus pokazuje da uprkos značajnoj stagnaciji na tržištima kriptovaluta, grupa Lazarus nastavlja da ulaže u napade povezane sa kriptovalutama, čineći ih sofisticiranijim. Dalje promene i diverzifikacija njihovog malvera pokazuju da će se broj tih napada povećati i da će oni postati ozbiljnija pretnja“, komentariše Seongsu Park, istraživač bezbednosti u kompaniji Kaspersky.
Grupa Lazarus, poznata po svojim sofisticiranim operacijama i vezama sa Severnom Korejom, poznata je ne samo po napadima sajber špijunaže i sajber sabotaže, već i po napadima koji su finansijski motivisani. Brojni istraživači, uključujući one iz kompanije Kaspersky, ranije su izveštavali o ovoj grupi i targetiranju banki i drugih velikih finansijskih kompanija.
Kako bi se zaštitili od ovog i sličnih napada, kripto preduzećima preporučujemo primenu sledećih koraka:
- Uvedite osnovnu obuku za podizanje svesti o bezbednosti za sve zaposlene kako bi bolje razlikovali pokušaje fišinga
- Sprovedite procenu bezbednosti aplikacije. Može vam pomoći da pokažete svoju pouzdanost potencijalnim investitorima
- Pazite na pojave ranjivosti u okruženjima za izvršavanje pametnih ugovora
Korisnicima koji već razmatraju kriptovalute ili planiraju da to urade, kompanija Kaspersky preporučujue da prate sledeće savete:
- Koristite samo pouzdane i dokazane platforme kriptovaluta
- Ne idite na linkove koji vas mame ka onlajn banci ili onlajn novčaniku
- Korisite pouzdano bezbednosno rešenje za sveobuhvatnu zaštitu od širokog spektra pretnji, poput Kaspersky Security Cloud