Сложность атрибуции северокорейских хакерских группировок вновь подтвердилась в ходе расследования Dark Atlas инфраструктуры APT38 (Bluenoroff) - финансового подразделения печально известного объединения Lazarus Group. Несмотря на тенденцию некоторых исследователей объединять все операции КНДР под брендом Lazarus, анализ последних инцидентов выявил уникальные тактики APT38, специализирующейся на атаках против банков, криптобирж и платежных систем. Группа с 2014 года провела не менее 40 операций в 38 странах, включая хищение $81 млн у банка Бангладеш и атаки на Bancomext и Banco de Chile с применением деструктивных нагрузок для сокрытия следов.
Описание
Расследование началось с IP-адреса 104.168.151.116, идентифицированного как часть инфраструктуры APT38. Анализ HTTP-заголовков показал характерные аномалии: статус 404 Not Found сопровождался специфичными параметрами ("Content-Type: text/plain; charset=utf-8", "X-Content-Type-Options: nosniff"), что в сочетании с JARM-отпечатком 29d29d00029d29d00041d41d000000301510f56407964db9434a9bb0d4ee4a позволило сформировать правила поиска в Shodan. Ключевым маркером стала принадлежность хоста к провайдеру Hostwinds Seattle, что типично для APT38, использующих легитимные хостинги для маскировки.
Продвинутый pivoting (переход по связям) выявил четыре новых IP-адреса:
- 140.82.20.246
- 156.154.132.200
- 198.57.247.218
- 192.64.119.169
Особый интерес представляет 192.64.119.169, связанный с фишинговым доменом bellezalatam.com, структурно повторяющим исторические шаблоны APT38. Адрес 198.54.117.242 разрешается в amirani.chat - вероятную платформу для C2-коммуникаций. Параллельно обнаружен вредонос localfile~.x64 (SHA-256: dbe48dc08216850e93082b4d27868a7ca51656d9e55366f2642fc5106e3af980) из семейства Cosmic Rust, таргетирующий macOS и связанный с C2-сервером 104.168.136.24. Это подтверждает кроссплатформенность инструментария APT38, ранее замеченную в атаках на SWIFT-терминалы и криптоэкосистемы.
Тактико-технические особенности:
- Фишинговая инфраструктура использует домены с "коммерческими" названиями (например, bellezalatam.com), имитирующие легитимные бизнес-ресурсы
- Уклонение от обнаружения: Нулевые показатели детектирования у части IP (192.64.119.169) указывают на применение стелс-методик, включая маскировку под нормальный трафик через HTTP-ошибки 404.
- Деструктивные нагрузки применяются не только для хищения средств, но и для саботажа систем жертв, как в случае с Banco de Chile (2018).
Исследование продолжается, но уже ясно: APT38 сохраняет высокую активность, адаптируя инфраструктуру под новые цели. Их финансовая мотивация напрямую связана с санкционным давлением на КНДР, что делает атаки всё более изощренными. Обмен индикаторами через платформы типа MISP и сотрудничество с CERT критически важны для предотвращения масштабных хищений. В ближайшее время стоит ожидать атак на криптовалютные платформы и банки развивающихся рынков - традиционных жертв APT38.
Индикаторы компрометации
IPv4
- 104.168.136.24
- 140.82.20.246
- 156.154.132.200
- 192.64.119.169
- 198.54.117.242
- 198.57.247.218
Domains
- firstfromsep.online
- gost.run
- hwsrv-587720.hostwindsdns.com
- instant-update.online
- nicrft.site
- socialsuport.com