Киберпреступники из Lazarus Group атакуют криптоиндустрию через фишинговые предложения о работе

На протяжении последнего десятилетия Lazarus Group сосредоточила свои усилия на финансовых учреждениях и компаниях, связанных с цифровыми активами. Их тактика характеризуется гибридным подходом: первоначально широкий охват с последующим точным нацеливанием на организации с высокой стоимостью активов. Методы группы высокоадаптивны; в прошлом они даже атаковали исследователей безопасности с целью кражи неопубликованных уязвимостей.

Операция группировки включает несколько сложных векторов атак: целенаправленный фишинг через фальшивые предложения о работе и поддельные электронные письма, атаки через скомпрометированные посещаемые веб-сайты, поставку вредоносного кода в репозитории разработчиков и тщательно проработанную социальную инженерию, адаптированную под профиль конкретной жертвы.

Новая кампания обычно начинается на таких платформах, как LinkedIn, Telegram или X (ранее Twitter), где злоумышленники выдают себя за рекрутеров. Их цель - заставить жертву пройти фиктивный процесс собеседования, что в конечном итоге приводит к установке вредоносного ПО. Это программное обеспечение крадет учетные данные и пароли с устройств и из браузеров жертв, а затем опустошает их криптокошельки.

При атаках на технических специалистов злоумышленники просят жертву выполнить «тестовое задание по программированию», которое включает клонирование и запуск вредоносного кода. В недавних атаках даже использовалась уязвимость CVE-2025-48384. Для нетехнического персонала применяется иная тактика: атакующие имитируют технические проблемы, например, сообщают о «неисправности камеры», чтобы заставить жертву запустить вредоносный скрипт.

Кампания следует устоявшейся схеме: фальшивые предложения о работе, многоэтапные «собеседования» и последующее развертывание вредоносного ПО. В инцидентах, нацеленных на нетехнических сотрудников, злоумышленники используют LinkedIn и X для организации фиктивных собеседований. Используемые вредоносные файлы демонстрируют сильное сходство с образцами, обнаруженными в конце 2024 года в ходе кампаний мошеннического рекрутинга.

Атака разворачивается в три этапа. Сначала жертву заманивают сообщением в LinkedIn с фиктивным предложением о собеседовании. Затем жертву направляют на вредоносный веб-сайт, где ее просят заполнить несколько форм и ввести личную информацию, что отвлекает внимание и создает видимость легитимности. На этапе «видеособеседования» сайт сообщает об отсутствии драйвера камеры. Атакующие создают ощущение срочности с помощью всплывающих окон и инструктируют жертву выполнить команды в терминале.

На устройствах macOS жертв обманом заставляют выполнить команду, которая загружает и запускает скрипт cdrivMac.sh. Этот скрипт функционирует как загрузчик и инструмент обеспечения устойчивости. Он загружает ZIP-архив с одного из управляемых злоумышленниками доменов, распаковывает его и выполняет вредоносный код. Сценарий также создает файл LaunchAgent для обеспечения постоянного присутствия в системе, автоматически запуская вредоносный скрипт при каждой загрузке. Ключевые вредоносные компоненты включают скрипт cloud.sh для компиляции и выполнения кода на Go, а также замаскированное приложение ChAudioFixer.app, предназначенное для кражи паролей. Анализ кода, в частности файла config/constants.go, выявляет возможности по сбору системной информации, удаленному управлению файлами, а также краже файлов cookies, сохраненных паролей и данных криптокошельков.

Анализ показывает связь с предыдущими атаками Lazarus Group, включая использование тех же доменов, что и в инцидентах с отравлением пакетов npm, и продолжение использования сервисов вроде Dropbox для эксфильтрации данных, хотя в новых вариантах для конфигурации применяются URLComponents, чтобы избежать открытого exposing доменов в коммуникациях.

На системах Windows атакующие направляют жертв на выполнение конкретных команд через командную строку или PowerShell, что инициирует загрузку полезной нагрузки с вредоносного домена. Затем с помощью легитимных системных утилит (LOLbins), таких как wscript.exe, выполняется вредоносный скрипт. Загруженные и извлеченные файлы включают в себя переименованный исполняемый файл Python (замаскированный под csshost.exe) для обхода detection средствами безопасности, а также набор скриптов на Python, отвечающих за кражу данных и установление зашифрованного канала связи с сервером злоумышленников. Для обеспечения устойчивости скрипт добавляет себя в автозагрузку через реестр Windows.

При атаках на технических специалистов применяются более изощренные методы, включая отравление открытых npm-репозиториев, компрометацию частных репозиториев на GitHub и распространение zip-архивов со злонамеренным кодом. Злоумышленники также используют недавно раскрытую уязвимость CVE-2025-48384. Атака начинается с того, что злоумышленники, изучив резюме жертвы, инициируют фальшивое собеседование через Telegram под видом рекрутера. Под предлогом оценки понимания проектов компании жертву обманом заставляют клонировать вредоносный репозиторий с GitLab. В процессе клонирования эксплуатируется уязвимость, что приводит к выполнению вредоносного хука, который устанавливает бэкдор и затем заменяет весь проект на чистую версию, чтобы скрыть следы взлома.

Данный анализ демонстрирует, что Lazarus Group продолжает целенаправленно атаковать криптовалютный сектор с целью кражи средств. Ключевыми элементами атаки являются социальная инженерия под видом рекрутинга, последующая кража данных и криптоактивов, а также мощная и постоянно обновляемая инфраструктура, что указывает на существенное финансирование и долгосрочные планы группировки.

Критически важно для организаций и частных лиц никогда не запускать неизвестные файлы, независимо от операционной системы, с крайним скептицизмом относиться к непрошеным предложениям о работе, особенно связанным с выполнением тестовых заданий или проверок системы, и исходить из предположения о риске компрометации - вредоносное ПО может незаметно атаковать системы, приводя к утечке данных, финансовым кражам и иным последствиям. Безопасность начинается с бдительности и здорового скептицизма.

IPv4

• 212.85.29.149
• 212.85.29.40
• 31.220.40.22
• 38.146.28.177
• 46.202.196.24
• 51.210.235.42
• 51.210.235.45
• 78.110.166.82

Domains

• aptiscore.com
• assessmentbay.com
• doodles.skillquestions.com
• easyhiringtool.com
• evalswift.com
• fireblocksinsight.com
• gitlab.tresalabs.com
• provevidskillcheck.com
• quiz-nest.com

URLs

• https://aptiscore.com
• https://technudge.pro

MD5

• 35195bb1f3247be5532a9f0d3712cc13
• 5c9af548cb39a3a2b4f7a91aad0cdccc
• 61c88b66dc906667ecb9387c0678a1dd
• a6add56c8c3cda2a4a247632aa7fc3ea
• c184aa82bd9e70445003a4f3dd4de0b3
• df994bd9153914e66ceee3f8bcb93527

SHA256

• 0a03ca9e4b836d54005335e8cedda91f52c99308b5fe1b529b26d810956e5588
• 6f7a0864e4b2e9c09121b5a26dd07825daeffeabb8150d2e9d82b0f3b81649fa
• 7b84d1d1ad0887dd0e545d0ba86c4e641c136ff8231f847bbf227fc5add25558
• c17aa46954ed1b9cd147e674de3f25520b1dfcaa20778a36b6957da1b291f0d3
• cd68b8c00708844fefaff84f23f97a67bedbee814888d172a530752d3d8a2cae
• f0b2095e384e253bff6fff3a20608112be0d0c2ed0bce9d29e04fbd02d33c089