Специалисты международной исследовательской группы GReAT (Kaspersky) представили на Security Analyst Summit данные о хищениях APT-группой BlueNoroff, входящей в состав Lazarus. В фокусе доклада оказались две целевые операции — GhostCall и GhostHire, направленные на разработчиков криптопроектов и топ-менеджеров. Атакующие тщательно планируют каждое воздействие.
BlueNoroff сосредоточена на финансовой наживе, выбирая в качестве мишеней сотрудников блокчейн-компаний. Несмотря на разницу в методах, GhostCall и GhostHire используют общую управляющую инфраструктуру, что позволило экспертам рассмотреть их совместно.
Операция GhostCall
Главные мишени кампании — руководители организаций. Внедряемое вредоносное ПО крадёт криптоактивы, логины и конфиденциальную информацию. Примечательно, что атакующие преимущественно эксплуатируют macOS, возможно из-за распространённости устройств Apple среди управленцев.
Атака начинается с продуманной манипуляции: злоумышленники маскируются под инвесторов, используя компрометированные аккаунты бизнесменов или записи видеоконференций. Жертву перенаправляют на фальшивые страницы Microsoft Teams или Zoom, где под предлогом обновления софта или устранения неполадок предлагают загрузить вредоносный файл.
Нюансы семи цепочек заражения (четыре ранее не документировались) вместе с IoC опубликованы в материале на Securelist.
Операция GhostHire
GhostHire фокусируется на блокчейн-разработчиках. Преступники рассылают фиктивные вакансии с заманчивыми условиями. При обсуждении деталей жертве отправляют ссылку на Telegram-бота, который перенаправляет на GitHub с «тестовым заданием» или архивом для скачивания. Сжатые сроки выполнения снижают бдительность — при запуске файла происходит инфицирование системы.
Технические подробности инструментария GhostHire и его индикаторы доступны в блоге Securelist.
Меры противодействия
Хотя прямые цели атак — конкретные специалисты, угроза распространяется на корпоративную инфраструктуру. Ответственность за защиту лежит на экспертах по кибербезопасности компаний. Ключевые рекомендации:
- Регулярно обучать сотрудников актуальным тактикам кибермошенников. Программы должны адаптироваться под роли сотрудников — от разработчиков до руководителей. Для этого подходят специализированные платформы, например Kaspersky Automated Security Awareness Platform.
- Обеспечить комплексную защиту всех корпоративных устройств, взаимодействующих с внешними ресурсами.