По данным компании по кибербезопасности AlienVault, автором зараженных документов HWP, используемых в недавних атаках на биржи, является группа Lazarus, финансируемая государственными структурами Северной Кореи.
Среди прочих, от атак внедрения вредоносного кода в документы HWP пострадала крупнейшая в Южной Корее криптовалютная биржа Bithumb, у которой хакеры украли более 30 миллионов долларов в криптовалюте.
Считается, что группа Lazarus, или BlueNoroff, которая украла 81 миллион долларов из Центрального банка Бангладеша в 2016 году, представляет самую серьезную угрозу для банков и теперь, возможно, и для криптовалютных компаний. В атаках на южнокорейские компании группа Lazarus использовала уязвимость ActiveX. Теперь хакеры также используют серию вирусов, внедренных в документы HWP, чтобы атаковать участников недавней финансовой встречи G20.
Компания AlienVault проанализировала три похожих документа, зараженных вредоносным кодом. В одном из них упоминается встреча Рабочей группы Большой двадцатки по международным финансам, направленная на координацию экономической политики между развитыми странами.
В файлы HWP внедрен вредоносный код, который устанавливает код вируса на атакуемую систему (например 32-битную версию Manuscrypt, которая уже была подробно описана другими исследователями безопасности). Также используются зараженные поддельные резюме. Предполагается, что зараженные файлы HWP использовались группой Lazarus ранее в мае и июне для ограбления биржи Bithumb.
Криптовалютным компаниям были отправлены поддельные резюме, поразительно похожие на документы, через которые устанавливалась программа Manuscrypt.
«Пока мы не можем быть уверены, но подозреваем, что это вредоносное ПО связано с похищением средств у биржи Bithumb», - отмечает AlienVault.
Похожие зараженные HWP документы рассылались пользователям криптоплощадок в Южной Корее раньше.
Кроме того, исследователи заметили, что домены, связанные с криптовалютным фишингом, зарегистрированы на тот же номер телефона, что и домен (itaddnet [.] Com), связанный с некоторыми вредоносными программами. Это означает, что злоумышленники также воруют учетные данные, наряду с рассылкой вредоносного ПО.
«Это странно, что у Lazarus есть зарегистрированный домен, обычно группа предпочитает компрометировать чужие законные веб-сайты. Так что это была бы необычная атака, если она действительно осуществлялась членами банды Lazarus», - считает AlienVault.
Группа Lazarus, вполне вероятно, могла взломать биржу Bithumb ранее в этом месяце, учитывая, что она уже атаковала биржу в прошлом году, что, вероятно, предоставило ей необходимую информацию, чтобы сделать это снова. В течении года группа совершала нападения и на другие криптовалютные биржи.
«Хакерские атаки группы Lazarus вряд ли прекратятся в скором времени, учитывая объемы похищенных средств. Прибыль, полученная от атаки на ЦБ Бангладеша - почти 1 млрд долларов США - составляет 3% от ВВП Северной Кореи. Похищение средств южнокорейских организаций помогает Северной Корее ослабить своего ближайшего конкурента, соседа и идеологического соперника», - считает AlienVault.
По материалам securityweek.com
Читайте также
EOSBet была взломана и потеряла 200 000 долларов
Крупная децентрализованная площадка азартных игр на платформе EOS потеряла 40 000 EOS ($200 000) в результате хакерской атаки. Это произошло всего через несколько дней после того, как создатели EOSBet заявили о том, что их приложение является самым надежным в своем роде.
Знайте своего врага: белый хакер Tayo Dada рассказывает о методах работы киберпреступников
Не так давно британские авиалинии и Facebook попали в длинный список жертв хакеров. Подобные события довольно сильно бьют по репутации компаний, многие клиенты перестают доверять им. Но что же получают в результате этих атак сами хакеры?