BlueNoroff: Северокорейская кибергруппа атаковала криптовалютные фонды через поддельный Zoom

С высокой долей уверности эксперты атрибутируют эту кампанию северокорейской APT-группе, известной под именами BlueNoroff, TA444, Sapphire Sleet или COPERNICIUM. Эта группировка, связанная с правительством КНДР, специализируется на атаках на криптовалютные активы с 2017 года. Их методы становятся все сложнее: от фишинга до использования deepfake-технологий в видеозвонках.

Все началось с сообщения в Telegram. Сотрудник криптовалютного фонда получил приглашение на встречу через сервис Calendly. Ссылка вела на поддельный домен Zoom, контролируемый хакерами. Жертва присоединилась к групповому звонку, где вместо реальных коллег увидела deepfake-версии руководства компании. Во время разговора злоумышленники убедили пользователя установить «исправление» для Zoom - вредоносный AppleScript, скрытый среди тысяч пустых строк кода.

Скрипт отключал логирование, проверял наличие Rosetta 2 (для совместимости с x86-бинарниками на Mac) и загружал вредоносную полезную нагрузку. Далее злоумышленники использовали целый арсенал инструментов:

• Telegram 2 - основной имплант для поддержания доступа, написанный на Nim.
• Root Troy V4 - бэкдор на Go, загружающий дополнительные модули.
• InjectWithDyld - загрузчик, использующий уязвимости macOS для внедрения кода в легитимные процессы.
• XScreen - кейлоггер, записывающий нажатия клавиш, содержимое буфера обмена и даже делающий скриншоты экрана.
• CryptoBot - специализированный стилер, нацеленный на кошельки MetaMask, Trust Wallet и другие.

Особого внимания заслуживает техника инъекции кода в процессы macOS. Злоумышленники использовали отладочные права (com.apple.security.cs.debugger), чтобы внедрять вредоносные библиотеки в легитимные приложения. Это редкий случай для macOS, где подобные атаки ранее почти не встречались.

Эта атака демонстрирует, как государственные хакеры сочетают социальную инженерию с техническими ухищрениями. Deepfake-звонки, поддельные расширения и сложные методы обхода защиты - все это делает BlueNoroff одной из самых опасных группировок в сфере киберпреступности. Криптовалютные компании должны усилить защиту, особенно в части проверки внешних сообщений и контроля за запуском сторонних скриптов.

Domains

• firstfromsep.online
• productnews.online
• readysafe.xyz
• safefor.xyz

URLs

• https://metamask.awaitingfor.site/update
• https://safeupload.online
• https://support.us05web-zoom.biz/842799/check

SHA256

• 080a52b99d997e1ac60bd096a626b4d7c9253f0c7b7c4fc8523c9d47a71122af
• 14e9bb6df4906691fc7754cf7906c3470a54475c663bd2514446afad41fa1527
• 1ddef717bf82e61bf79b24570ab68bf899f420a62ebd4715c2ae0c036da5ce05
• 2e30c9e3f0324011eb983eef31d82a1ca2d47bbd13a6d32d9e11cb89392af23d
• 432c720a9ada40785d77cd7e5798de8d43793f6da31c5e7b3b22ee0a451bb249
• 469fd8a280e89a6edd0d704d0be4c7e0e0d8d753e314e9ce205d7006b573865f
• 4cd5df82e1d4f93361e71624730fbd1dd2f8ccaec7fc7cbdfa87497fb5cb438c
• ad01beb19f5b8c7155ee5415781761d4c7d85a31bb90b618c3f5d9f737f2d320
• ad21af758af28b7675c55e64bf5a9b3318f286e4963ff72470a311c2e18f42ff