Lazarus Group новые тактики: от фишинга до утечки данных через Supabase

В ходе расследования выяснилось, что злоумышленники использовали вредоносный код, замаскированный под проект NFT-маркетплейса. После анализа репозитория на GitHub были обнаружены подозрительные вызовы функции eval, которые загружали и исполняли вредоносный скрипт с серверов, ранее связанных с Lazarus.

Особый интерес представляет утечка данных через Supabase - сервис, похожий на Firebase. Хакеры неверно настроили права доступа к базе, что позволило исследователям изучить логи заражённых устройств. В записях обнаружились IP-адреса, включая китайский резидентский адрес (223.104.144.97), что может указывать на ошибку операционной безопасности.

Анализ активности показал, что у группы есть чёткий график работы с перерывом с 8:00 до 13:00 UTC, что соответствует вечернему времени в Пхеньяне. Это подтверждает организованный характер их операций.

Исследование демонстрирует контраст между примитивными методами фишинга и сложными постэксплуатационными инструментами Lazarus. Утечка данных через Supabase не только раскрыла их методы слежения, но и предоставила ценные индикаторы компрометации для защиты будущих целей.

IPv4

• 107.182.231.193
• 107.182.231.196
• 108.181.57.127
• 120.226.22.28
• 129.232.193.253
• 146.70.63.2
• 167.88.61.148
• 184.174.5.149
• 195.146.5.31
• 199.168.113.31
• 209.127.117.234
• 217.138.198.34
• 223.104.144.97
• 31.13.189.10
• 31.13.189.178
• 31.13.189.26
• 37.120.216.226
• 38.132.106.130
• 38.134.148.94
• 38.170.181.10
• 45.141.153.130
• 45.141.153.154
• 45.56.197.79
• 89.116.158.156
• 89.116.158.164
• 89.116.158.188
• 89.116.158.228
• 89.116.158.68
• 89.116.158.84
• 89.187.161.220
• 89.187.185.11

URLs

• http://144.172.96.35/
• https://mkswbddldpyiqkyu.supabase.co/