Компания Cisco Talos сообщила, что северокорейская хакерская группировка под названием «Famous Chollima» сосредоточила свои атаки на соискателях криптоработы в Индии. Эта группировка, по-видимому, не имеет прямого отношения к Lazarus.
На данный момент сложно определить, были ли эти действия мелкими кражами или предварительной подготовкой к более масштабным атакам. В дальнейшем соискателям в криптоиндустрии следует проявлять осторожность.
Криптохаки в Северной Корее Продолжаются
Северокорейская Lazarus Group имеет внушительную репутацию в сфере криптопреступности, совершив крупнейшую хакерскую атаку в истории отрасли. Однако это не единственное преступное предприятие в сфере Web3 в Северной Корее, поскольку она широко представлена в DeFi.
Компания Cisco Talos выявила несколько недавних случаев преступной деятельности в Индии, связанных с кражей криптовалюты:
Судя по сообщениям, Famous Chollima — это не что-то новое; она функционирует с середины 2024 года или даже раньше. В ходе нескольких недавних инцидентов северокорейские хакеры пытались проникнуть в американские криптокомпании, такие как Kraken, подавая заявки на открытые вакансии.
Знаменитая компания Chollima поступила наоборот, заманивая потенциальных работников фальшивыми заявками.
«Эти кампании включают в себя… создание поддельных объявлений о вакансиях и страниц для проверки навыков. На последних пользователям предлагается скопировать и вставить вредоносную командную строку, чтобы установить драйверы, необходимые для прохождения финального этапа проверки навыков. [Затронутые пользователи] в основном находятся в Индии», — заявили в компании.
По сравнению с грозной репутацией Lazarus, фишинговые атаки Famous Chollima кажутся гораздо более неуклюжими. В Cisco заявили, что поддельные приложения этой группы всегда имитировали известные криптофирмы.
В этих объявлениях не использовался фирменный стиль реальных компаний, а вопросы были едва ли связаны с предполагаемыми вакансиями.
Поддельное приложение Robinhood, используемое для взлома. Источник: Cisco Talos
Заглатывание наживки
Жертв заманивают на поддельные сайты по трудоустройству, выдающие себя за известные технологические или криптовалютные компании. После заполнения анкет их приглашают на видеоинтервью.
Во время этого процесса сайт предлагает им выполнить инструкции командной строки, якобы предназначенные для установки видеодрайверов, которые на самом деле загружают и устанавливают вредоносное ПО.
После установки PylangGhost предоставляет злоумышленникам полный контроль над системой жертвы. Он крадёт учётные данные для входа в систему, данные браузера и информацию о криптовалютном кошельке, нацеливаясь на более чем 80 популярных расширений, таких как MetaMask, Phantom и 1Password.
Недавно, после предотвращения атаки вредоносного ПО, BitMEX заявила, что Lazarus использует как минимум две команды: команду с низким уровнем квалификации для первоначального взлома протоколов безопасности и команду с высоким уровнем квалификации для последующих краж. Возможно, это обычная практика для хакерского сообщества Северной Кореи.
К сожалению, трудно сделать какие-либо однозначные выводы, не прибегая к домыслам. Хочет ли Северная Корея взломать этих соискателей, чтобы они лучше подходили на роль работников криптоиндустрии?
Пользователям следует с осторожностью относиться к незапрошенным предложениям о работе, избегать запуска неизвестных команд и защищать свои системы с помощью защиты конечных точек, многофакторной аутентификации и мониторинга расширений браузера.
" 
