Криптограбители из Северной Кореи снова пополняют бюджет страны путем кражи криптовалюты

Согласно новому отчету ИБ-компании Volexity, северокорейская хакерская группа Lazarus проводит новую кампанию, распространяя поддельные криптовалютные приложения под вымышленным брендом «BloxHolder» для установки вредоносного ПО AppleJeus, чтобы получить начальный доступ к сетям и украсть криптоактивы.

Новая кампания Lazarus началась в июне 2022 года и действовала как минимум до октября 2022 года. В этой кампании злоумышленники использовали домен «bloxholder[.]com», клон автоматизированной платформы для торговли криптовалютой HaasOnline.

Настоящий (слева) и клонированный сайт (справа)

Фишинговый сайт распространял MSI-установщик Windows, который выдавал себя за приложение BloxHolder. На самом деле это было северокорейское вредоносное ПО для кражи криптовалюты AppleJeus , которое доставляется под видом легитимного приложения для торговли биткоином QT Bitcoin Trader.

После установки через цепочку заражения MSI AppleJeus создает запланированную задачу и помещает дополнительные файлы в папку «%APPDATA%\Roaming\Bloxholder\». Затем вредоносное ПО отправляет на сервер управления и контроля (C&C) через POST-запрос следующую информацию о системе:

• MAC-адрес;
• имя компьютера;
• версия ОС.

Так вредоносное ПО определяет в какой среде оно работает – на виртуальной машине или в песочнице.

Также в недавних кампаниях группировка использует технику DLL Sideloading для установки вредоносного ПО из доверенного процесса, избегая обнаружения AV-систем.

Цепочка атаки DLL Sideloading

Исследователи Volexity заявили, что причина, по которой Lazarus выбрала технику DLL Sideloading неясна, но может заключаться в том, чтобы препятствовать анализу вредоносного ПО.

Еще одна новая особенность последних образцов AppleJeus заключается в том, что все его строки и вызовы API теперь запутываются с помощью специального алгоритма, что делает их более незаметными для продуктов безопасности.