Skip to main content
29 October 2024 05:48

Η Lazarus APT έκλεψε κρυπτονομίσματα μέσω zero-day ευπάθειας

Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης (GReAT) της Kaspersky αποκάλυψε μια σύνθετη κακόβουλη εκστρατεία από την ομάδα Lazarus Advanced Persistent Threat, η οποία στοχοποίησε επενδυτές κρυπτονομισμάτων σε παγκόσμιο επίπεδο. Οι επιτιθέμενοι δημιούργησαν έναν ψεύτικο ιστότοπο κρυπτοπαιχνιδιών, αξιοποιώντας μια ευπάθεια zero-day στο Google Chrome για να εγκαταστήσουν κατασκοπευτικό λογισμικό και να υποκλέψουν δεδομένα πορτοφολιών.

Τον Μάιο του 2024, οι ειδικοί της Kaspersky, αναλύοντας περιστατικά από την τηλεμετρία του Kaspersky Security Network, εντόπισαν μια επίθεση που αξιοποιούσε το κακόβουλο λογισμικό Manuscrypt. Το Manuscrypt, το οποίο χρησιμοποιείται από την ομάδα Lazarus από το 2013, έχει εντοπιστεί από την ομάδα GReAT της Kaspersky σε πάνω από 50 διαφορετικές εκστρατείες που στοχεύουν ποικίλους κλάδους. Μετά από περαιτέρω ανάλυση, αποκαλύφθηκε μια σύνθετη κακόβουλη εκστρατεία που βασιζόταν σε μεγάλο βαθμό σε τεχνικές κοινωνικής μηχανικής και στην παραγωγική τεχνητή νοημοσύνη, με στόχο επενδυτές κρυπτονομισμάτων.

Η ομάδα Lazarus φημίζεται για τις εξαιρετικά προηγμένες επιθέσεις της σε πλατφόρμες κρυπτονομισμάτων και έχει ιστορικό εκμετάλλευσης ευπαθειών zero-day. Η νέα αυτή εκστρατεία ακολούθησε το ίδιο μοτίβο: Οι ερευνητές της Kaspersky ανακάλυψαν ότι οι δράστες εκμεταλλεύτηκαν δύο ευπάθειες, συμπεριλαμβανομένου ενός άγνωστου έως τώρα σφάλματος σύγχυσης τύπων (type confusion) στο V8 και τις μηχανές ανοιχτού κώδικα JavaScript και WebAssembly της Google. Η ευπάθεια αυτή διορθώθηκε ως CVE-2024-4947, μετά την αναφορά της Kaspersky στην Google. Επέτρεψε όμως στους επιτιθέμενους να εκτελέσουν αυθαίρετο κώδικα, να παρακάμψουν δυνατότητες ασφαλείας και να διεξάγουν διάφορες κακόβουλες δραστηριότητες. Μια διαφορετική ευπάθεια χρησιμοποιήθηκε για την παράκαμψη της προστασίας sandbox του V8 στο Google Chrome.

Οι επιτιθέμενοι αξιοποίησαν την ευπάθεια αυτή μέσω ενός άρτια κατασκευασμένου ψεύτικου ιστότοπου παιχνιδιού, που προσκαλούσε τους χρήστες να συμμετάσχουν σε διαγωνισμούς με NFT tanks σε παγκόσμιο επίπεδο. Επικεντρώθηκαν στην οικοδόμηση εμπιστοσύνης για να μεγιστοποιήσουν την αποτελεσματικότητα της εκστρατείας, δημιουργώντας λεπτομερή στοιχεία που έκαναν τις προωθητικές ενέργειες να φαίνονται όσο το δυνατόν πιο αληθοφανείς. Αυτό περιλάμβανε τη δημιουργία λογαριασμών στα κοινωνικά δίκτυα X και LinkedIn για την προώθηση του παιχνιδιού, με διάρκεια αρκετών μηνών. Χρησιμοποίησαν εικόνες που δημιουργήθηκαν μέσω τεχνητής νοημοσύνης για να ενισχύσουν την αξιοπιστία του ιστότοπου. Η ομάδα Lazarus έχει ενσωματώσει με επιτυχία την τεχνητή νοημοσύνη στις επιχειρήσεις της, και οι ειδικοί της Kaspersky προβλέπουν ακόμα πιο σύνθετες επιθέσεις από την ομάδα που θα αξιοποιούν τέτοιες τεχνολογίες.

Οι επιτιθέμενοι προσπάθησαν επίσης να επιστρατεύσουν crypto influencers για να ενισχύσουν την προώθηση της εκστρατείας, εκμεταλλευόμενοι την παρουσία τους στα social media, όχι μόνο για να διαδώσουν την απειλή, αλλά και για να στοχοποιήσουν απευθείας τους λογαριασμούς κρυπτονομισμάτων τους.

ΤΕΥΧΟΣ 607

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ