Группа Lazarus, также известная как APT-C-26, совершила новую атаку на криптовалютную индустрию, используя программы Electron.
Lazarus (APT-C-26) APT
В этой атаке группа выбрала проект uniswap-sniper-bot и упаковала его в исполняемый файл для доставки. Когда пользователь запускает программу, она сначала устанавливает uniswap-sniper-bot, чтобы запутать пользователей. Однако в фоновом режиме программа также занимается распространением вредоносного ПО. Было обнаружено, что образец скомпилирован с помощью Electron, фреймворка с открытым исходным кодом, объединяющего Chromium и Node.js. Это говорит о способности группировки проводить многоплатформенные атаки.
После декомпиляции программы Electron было обнаружено, что группа Lazarus внедрила в нее вредоносный код. Инжектированный код, названный TokenHash.js, отсутствовал в официальном исходном коде uniswap-sniper-bot. Организация продемонстрировала свое стремление усовершенствовать полезную нагрузку, сильно обфусцировав скрипт, чего не наблюдалось в предыдущих атаках такого рода.
Дальнейший анализ показал, что TokenHash.js обнаруживает несколько идентификаторов расширений криптовалютных кошельков в браузерах и крадет данные кошельков из браузеров Brave, Chrome и Opera. Затем украденные данные отправляются на удаленный сервер. Атака также включает загрузку инсталлятора Python с другого сервера, чтобы облегчить последующее выполнение кода. Полезная нагрузка загружается с другого сервера и сохраняется для выполнения.
Загружаемая полезная нагрузка представляет собой файл .sysinfo, который является сценарием Python, сильно закодированным и сжатым. После декодирования и распаковки файла обнаруживается оригинальный скрипт. Подробности скрипта и его последующих действий в данном тексте не приводятся.
В целом, группа Lazarus постоянно совершенствует свои методы атак и нацеливается на криптовалютную индустрию с помощью программ Electron. Их способность проводить многоплатформенные атаки в сочетании с усилиями по обфускации и модернизации полезной нагрузки демонстрирует их решимость использовать уязвимости в индустрии и похищать конфиденциальную информацию.
Indicators of Compromise
IPv4 Port Combinations
- 138.201.199.46:1224
- 147.124.214.129:1244
- 165.140.86.227:1244
- 167.88.168.152:1224
- 185.235.241.208:1224
- 23.106.253.215:1244
- 38.92.47.151:1244
- 38.92.47.85:1244
- 45.128.52.14:1224
- 45.137.213.30:1224
- 45.43.11.201:1244
- 86.104.74.51:1224
- 95.164.17.24:1224
MD5
- 1bb8b1d0282727ab9bc2deb3570cf272
- 2a8e4281213e4aaa485612f9ded261a2
- 457bb40c6fc10b3cd5a3b51e4eb672b2
- 48c179680e0b37d0262f7a402860b2a7
- 61279d5e30f493bbdae9eab8ca99e9a4
- 8ebca0b7ef7dbfc14da3ee39f478e880
- bc14c3ab8316e7ec373829ea7a6e2166
- bf82e3b5d25d167c168cc6600e797c53
- eac8edaf5a4637fd964d7a3d87f8189a