Эксперты по информационной безопасности обнародовали результаты масштабного исследования деятельности хакерской группировки SectorA01, также известной как Lazarus. Анализ, проведенный по итогам мая 2025 года, показывает, что группа, связанная с правительством КНДР, продолжает совершенствовать свои методы для систематического хищения криптовалютных активов. В условиях жестких международных санкций и изоляции национальной экономики, киберпространство превратилось для Пхеньяна в новый фронт, а кража цифровых валют - в ключевой асимметричный инструмент пополнения бюджета. Полученные средства, по оценкам аналитиков, направляются не только на поддержание режима, но и на финансирование стратегических проектов, включая разработку оружия массового поражения.
Описание
Многоэтапная атака под прикрытием легитимного ПО
Атака, изученная специалистами, начинается с социальной инженерии. Злоумышленники рассылают вредоносное (malicious) ПО, замаскированное под официальный установочный файл торговой платформы Deriv - популярного онлайн-брокера. Таким образом, жертва самостоятельно устанавливает угрозу, убежденная в надежности источника.
Процесс заражения построен по сложной многоэтапной модели, разделенной на четыре стадии. Изначальный установщик, созданный с помощью легитимного инструмента NSIS, распаковывает и запускает файл trading-app.exe, собранный на фреймворке Electron. Приложение отображает пользователю точную копию сайта Deriv, скрывая свою истинную природу.
На втором этапе в фоновом режиме исполняется вредоносный JavaScript-код, который устанавливает связь с сервером злоумышленников. Этот скрипт выполняет три ключевые функции: похищает данные браузеров и криптокошельков, при необходимости загружает и устанавливает официальный дистрибутив Python для создания среды исполнения и, наконец, скачивает основной вредоносный модуль - Python-скрипт main3_102.py. Именно с его исполнения начинается третья, наиболее активная фаза атаки.
Гибкий арсенал для кражи данных и удаленного контроля
Скрипт main3_102.py выступает в роли диспетчера, загружая и запуская два основных модуля: pay3_102.py и brow3_102.py.
Pay3_102.py - это мощный бэкдор (backdoor), обеспечивающий постоянное соединение с командным сервером. Модуль поддерживает восемь основных функций, управляемых командами оператора. В их числе кейлоггинг (фиксация нажатий клавиш), мониторинг буфера обмена, сбор и отправка файлов по заданным путям или шаблонам (например, поиск файлов ".env" с конфиденциальными данными), принудительное завершение процессов браузеров и Python, а также установка легитимной программы для удаленного доступа AnyDesk с подменой конфигурации для доступа злоумышленника.
Brow3_102.py специализируется на краже учетных данных и информации кредитных карт из браузеров на базе Chromium (Chrome, Edge, Brave и др.). Кроме того, этот модуль содержит зашифрованный код, отвечающий за обеспечение устойчивости в системе. Он создает в автозагрузке скрипт "Windows Update Script.pyw", который, в свою очередь, регистрирует задание в Планировщике задач Windows и отвечает за финальную установку основной нагрузки (payload).
Финальный этап: комплексный бэкдор Tsunami
Четвертый этап представляет собой установку и запуск основного вредоносного комплекса под названием Tsunami, замаскированного под системный процесс "Runtime Broker.exe". Это .NET-приложение обладает высокой степенью живучести и скрытности. Оно отключает Защитник Windows и брандмауэр, регистрирует собственные пути в исключениях и устанавливает соединение с командным сервером через анонимную сеть Tor, используя специальный .onion-домен. Цель Tsunami - обеспечить долгосрочный, скрытый контроль над системой, возможность обновления своих компонентов и сбор широкого спектра информации, включая сессии браузеров и данные Discord.
Связь с прошлым и глобальная угроза
Аналитики отмечают высокое сходство тактик, техник и процедур (TTPs) этой кампании с атаками, приписываемыми Lazarus в 2023 году. Тогда хакеры также использовали многоэтапную схему с начальным JavaScript-загрузчиком и последующей загрузкой Python-модулей, хотя начальный вектор атаки отличался. Это указывает на использование группировкой общего фреймворка и эволюцию проверенных методов.
Изначально нацеленная на криптоиндустрию, атака демонстрирует тревожную гибкость. Модульная архитектура вредоносного ПО позволяет злоумышленникам адаптировать финальную полезную нагрузку под конкретные цели. Это означает, что под угрозой могут оказаться не только частные инвесторы в цифровые активы, но и компании из различных секторов, а также государственные учреждения. Широкий арсенал средств для сбора информации, удаленного контроля и обеспечения устойчивости превращает эту кампанию в инструмент для решения широкого спектра задач - от финансового хищения до шпионажа.
Эксперты подчеркивают, что противодействие столь продвинутым угрозам требует перехода к проактивной защите, основанной на анализе разведданных об угрозах (Cyber Threat Intelligence, CTI). Понимание TTPs таких групп, как SectorA01, позволяет предсказывать их действия и выстраивать эффективную стратегию обороны, выходящую за рамки простого реагирования на инциденты.
Индикаторы компрометации
IPv4
- 144.172.105.189
- 23.254.164.156
- 95.164.17.24
IPv4 Port Combinations
- 144.172.105.189:1224
- 144.172.105.189:2243
Onion Domains
- n34kr3z26f3jzp4ckmwuv5ipqyatumdxhgjgsmucc65jac56khdy5zqd.onion
URLs
- 144.172.105.189:1224/adc/3
- 144.172.105.189:1224/brow/3/102
- 144.172.105.189:1224/client/3/102
- 144.172.105.189:1224/keys
- 144.172.105.189:1224/payload/3/102
- 144.172.105.189:1224/pdown
- 144.172.105.189:1224/uploads
- 23.254.164.156/introduction-video
- 95.164.17.24:1224/keys
- fashdefi.store:6168/defy/v6
- http://144.172.105.189:1224/adc/3
- http://144.172.105.189:1224/brow/3/102
- http://144.172.105.189:1224/client/3/102
- http://144.172.105.189:1224/keys
- http://144.172.105.189:1224/payload/3/102
- http://144.172.105.189:1224/pdown
- http://144.172.105.189:1224/uploads
- http://23.254.164.156/introduction-video
- http://n34kr3z26f3jzp4ckmwuv5ipqyatumdxhgjgsmucc65jac56khdy5zqd.onion
