گروه لازاروس این بار به سازمان‌های ارز دیجیتال حمله می‌کند!

هکرهای کره شمالی که به نام گروه لازاروس (Lazarus) شناخته می‌شوند، از محبوبیت لینکدین برای کمپین spear-phishing برای مورد هدف قرار دادن بازار ارز دیجیتال در ایالات متحده، انگلستان، آلمان، سنگاپور، هلند، ژاپن و کشورهای دیگر استفاده می‌کنند. این اولین باری نیست که هکرهای لازاروس سازمان‌های ارز دیجیتال را مورد هدف قرار می‌دهند.

کارشناسان شورای امنیت سازمان ملل متحد معتقدند که کره شمالی پشت پرده این جرایم مربوط به ارز دیجیتال قرار دارد که موجب خسارت ۵۷۱ میلیون دلاری در بین سال‌های ۲۰۱۷ و ۲۰۱۸ شد(با وجود این که ایالات متحده، بعدا سه گروه تحت حمایت DPRK و باانگیزه مالی یعنی Lazarus، Andarial و Bluenoroff را تحریم کرد).

یک گزارش ارتش ایالات متحده در ماه گذشته، هکرهای کره شمالی را بیش از ۶,۰۰۰ تخمین زده که بیشتر آن‌ها، از کشورهای دیگر از جمله روسیه، چین و هند فعالیت می‌کنند.

در اوایل سال جاری و در ماه مارس، دو تبعه چینی به اتهام پولشویی بیش از ۱۰۰ میلیون دلار از ۲۵۰ میلیون دلار ارزدیجیتال سرقت شده توسط گروه لازاروس در سال ۲۰۱۸ دستگیر شدند.

فیشینگ لینکدین، مدیر سیستم شرکت رمزنگاری را مورد هدف قرار داد

محققان امنیتی F-Secure اعلام کردند که حمله فیشینگی شناسایی شده که یک سازمان در بخش ارزدیجیتال را مورد هدف قرار می‌داد و آن‌ها این حمله را به گروه لازاروس نسبت می‌دهند.

این امر با توجه به شواهدی که F-Secure از فعالیت‌های لازاروس به دست آورده‌اند، ممکن است زیرا علائم آشکاری از تلاش این گروه برای پاکسازی ردپاهای خود، مانند غیرفعال کردن راهکارهای ضدبدافزار و پاک کردن ایمپلنت‌های مخرب خود از دستگاه‌های به خطرافتاده، مشاهده شده است.

محققان دریافتند که: “گروه لازاروس موفق به پاکسازی تمام ردپاهای ناشی از استقرار بدافزار و مدارک فارنزیک در تمام هاست‌ها شده است؛ به جز یک مورد که در میانه کار خاموش شده و در نتیجه نفوذ و دسترسی به آن غیرممکن بود.”

با استفاده از ایمپلنت‌های مخرب که بعد از عملیات لازاروس در سیستم‌های آلوده به جا مانده بودند، (مشابه ابزارهایی که این گروه قبلا استفاده کرده بود) و تاکتیک‌ها، تکنیک‌ها و پروسیجرهایی (TTPها) که پیش از این هم در عملیات‌های قبلی هکرهای کره شمالی استفاده شده بود، F-Secure توانست این حمله را به لازاروس نسبت بدهد. با توجه به آرتیفکت‌های این فیشینگ، محققان این حمله را به یک کمپین گسترده‌تر ارتباط می‌دهند که حداقل از ژانویه 2018 آغاز شده است.

آرتیفکت‌های مشابه، حداقل در 14 کشور جهان استفاده شده‌اند: ایالات متحده، چین، انگلیس، کانادا، آلمان، روسیه، کره جنوبی، آرژانتین، سنگاپور، هنگ‌کنگ، هلند، استونی، ژاپن و فیلیپین.

کمپین فیشینگ در حال اجرا

این هکرها، از یک فایل Word مخرب و دستکاری شده با عنوان فایل محافظت شده GDPR استفاده کردند که از قربانی می‌خواست برای دستیابی به سایر اطلاعات، محتوا را فعال کند. بعد از فعال‌سازی محتوا، این فایل ورد، میکروکدهای جاسازی شده‌ای را که به لینک bit.ly متصل بودند، اجرا می‌کرد (که از اوایل ماه می 2019، ده‌ها بار از کشورهای مختلف جهان مورد دسترسی قرار گرفته است) و پی‌لودهای بدافزار نهایی را بعد از اولین جمع‌آوری و انتقال اطلاعات سیستم به سرورهای فرمان و کنترل مهاجمان، مستقر می‌کردند.

این ایمپلنت‌های مخرب به هکرهای لازاروس اجازه می‌داد که فایل‌های اضافی را دانلود کنند، داده‌ها را در حافظه از حالت فشرده خارج کرده، ارتباطات C2 را آغاز کنند، کدهای دلخواه را اجرا و از تعدادی از منابع، سرقت اعتبار کنند.

همچنین مشاهده شده که این گروه، Credential Guard را روی دستگاه‌های آلوده غیرفعال می‌کند تا با استفاده از ابزار بعد از اکسپلویت Mimikatz، بتواند اعتبارها را از مموری به دست‌آورد.