В конце января 2026 года специалисты компании Arctic Wolf зафиксировали целенаправленное вторжение в инфраструктуру североамериканской фирмы, работающей в сфере Web3 и криптовалют. С высокой степенью уверенности атаку связывают с группировкой BlueNoroff - финансово мотивированным подразделением северокорейской хакерской группы Lazarus, действующей под эгидой Разведывательного генерального бюро КНДР. Этот инцидент не просто очередной эпизод киберпреступности: он демонстрирует новый уровень социальной инженерии, где искусственный интеллект и кража видеоданных превращаются в самовоспроизводящийся механизм обмана.
Описание
Всё началось с того, что злоумышленники отправили сотруднику компании приглашение на встречу через календарный сервис Calendly. Сама встреча была назначена на 23 января 2026 года - через пять месяцев после первоначального контакта. Когда жертва подтвердила бронирование, система сгенерировала ссылку на Google Meet, но хакеры незаметно подменили её на фишинговый URL, внешне неотличимый от адреса Zoom. Домен, использованный в атаке, uu03webzoom.us, был одной из разновидностей опечаточных доменов: всего на той же инфраструктуре специалисты обнаружили более 80 таких подставных адресов, имитирующих Zoom и Microsoft Teams.
Жертва, ничего не подозревая, трижды кликнула по вредоносной ссылке в течение четырёх минут - такое поведение типично для сценария, когда пользователь думает, что его видеоплеер не работает, и пытается перезайти. На экране появилась точная копия интерфейса Zoom: с эмблемой, панелью инструментов, аватарками участников и даже индикатором активного докладчика, переключавшимся каждые три-пять секунд. Однако это была не реальная видеоконференция, а полностью автономное JavaScript-приложение, размещённое на сервере атакующих.
Когда жертва нажала "Присоединиться", браузер запросил доступ к камере и микрофону - что выглядело совершенно естественно для видеозвонка. На самом деле страница запускала скрытый процесс: видео с веб-камеры пользователя в реальном времени передавалось на сервер злоумышленников. Через несколько секунд после "подключения" на экране появилось сообщение о том, что "SDK устарел" и требуется обновление. Жертве предлагали скопировать и выполнить кажущиеся безобидными команды в терминале Windows. Однако на самом деле при копировании буфер обмена подменялся: туда попадала строка PowerShell, которая загружала и запускала вредоносный код.
Далее следовала цепочка из нескольких этапов. Сначала PowerShell-загрузчик скачивал из сети более крупный полезный скрипт, который сохранялся в временную папку с расширением .log - чтобы миновать сигнатуры антивирусов, ищущие .ps1. После выполнения этого скрипта появлялось окно с сообщением "Zoom успешно обновлён", что завершало социальную инженерию и усыпляло бдительность. В то же время в системе устанавливалась связь с командным сервером управления (C2). Имплант, написанный на PowerShell, каждые пять секунд отправлял на сервер детальную информацию о компьютере: имя хоста, имя пользователя, версию ОС, список процессов, статус прав администратора, настройки прокси и даже определял, не запущена ли система в виртуальной машине. Если сервер в ответ отправлял PowerShell-команды, они немедленно выполнялись.
Весь процесс от первого клика до полного захвата системы занял менее пяти минут. Атакующие получили доступ к данным браузеров Chrome, Edge и Brave: были похищены файлы сохранённых паролей, cookies, история посещений. Особое внимание уделялось расширениям для криптовалютных кошельков. Кроме того, была украдена сессия Telegram: злоумышленники скопировали файлы локального хранилища мессенджера, что позволило им входить в аккаунт жертвы без ввода пароля. Полученный доступ сохранялся более 66 дней - хакеры закрепились в системе через ярлык в автозагрузке, который имитировал обновление Chrome.
Но самое примечательное в этой атаке - использование технологий дипфейк и самовоспроизводящегося конвейера обмана. При анализе инфраструктуры злоумышленников специалисты обнаружили более 950 файлов, хранящихся на сервере для хранения медиа. Среди них были видеозаписи, украденные у предыдущих жертв: их веб-камеры снимали лица во время фальшивых встреч, и эти кадры затем использовались для создания новых участников в следующих атаках. Отчёт Arctic Wolf детально описывает, как хакеры комбинировали реальные украденные видео с изображениями, сгенерированными нейросетью ChatGPT (модель GPT-4o), чтобы создавать реалистичные дипфейк-ролики. Обработка велась в Adobe Premiere Pro на компьютере MacBook Pro под управлением macOS, а для записи фоновых движений использовалась виртуальная машина Windows 10. Таким образом, жертва видела на экране знакомые лица - коллег, партнёров или известных в индустрии экспертов, - но на самом деле это были либо прежние пострадавшие, слившие свои видео, либо полностью синтезированные аватары.
Масштаб кампании впечатляет. Помимо основной цели, исследователи идентифицировали ещё как минимум 100 человек, чьи изображения или видео оказались на серверах хакеров. География охватывает более 20 стран: 41% целей находятся в США, 11% - в Сингапуре, 7% - в Великобритании. Большинство пострадавших (80%) работают в сфере криптовалют, блокчейна и финансовых инвестиций. При этом 45% из них - генеральные директора или основатели компаний, а 76% занимают высшие руководящие должности. Хакеры целенаправленно охотились за людьми, имеющими доступ к корпоративным криптокошелькам, ключам шифрования и инвестиционным решениям.
Последствия такой атаки выходят далеко за рамки одной компании. Украденные данные - видеозаписи, сессии Telegram, учётные данные - становятся топливом для следующих волн атак. Злоумышленники могут выдать себя за жертву, чтобы обмануть её деловых партнёров. Особенно опасна имитация венчурных инвесторов: скомпрометированный партнёр венчурного фонда может легко обратиться к портфельным компаниям и получить доступ к их активам.
Хотя атака была тщательно спланирована, операторы допустили несколько ошибок. В коде скриптов остались баги: например, не удалялись временные файлы с похищенными данными, что дало следователям дополнительный материал. Тем не менее сам факт того, что группировка, связанная с государством, способна развернуть такой многоступенчатый конвейер социальной инженерии с использованием искусственного интеллекта и реальной видеокражей, говорит о новой эре угроз. Компаниям в сфере Web3 и криптовалют стоит немедленно усилить обучение сотрудников: любые неожиданные приглашения на встречи, особенно с требованием выполнить команды в терминале, должны вызывать подозрения. Кроме того, необходимо блокировать известные C2-адреса и внедрить мониторинг подозрительных действий PowerShell и запусков C# в памяти.
BlueNoroff не случайно выбрала этот сектор: криптовалютные компании - идеальная мишень для финансово мотивированного противника, поддерживаемого государством. Урок для всех участников рынка - доверять своим глазам больше нельзя: знакомое лицо на экране может оказаться дипфейк, созданным из украденного видео, а привычная ссылка Zoom - ловушкой.
Индикаторы компрометации
IPv4
- 104.145.210.107
- 83.136.208.246
- 83.136.209.22
Domains
- check02id.com
- thriddata.com
- uu03webzoom.us
