Кіберзлочинці, пов’язані з Північною Кореєю, активно атакують сектори Web3 та блокчейн у рамках двох кампаній під назвами GhostCall та GhostHire. Ці операції є частиною більш масштабної кампанії SnatchCrypto, яка спрямована на крадіжку криптовалют.

Деталі кампаній GhostCall та GhostHire

За даними експертів, обидві кампанії використовують складні ланцюги шкідливого програмного забезпечення для проникнення в системи жертв. Група BlueNoroff, яка є підрозділом печально відомої APT-групи Lazarus, розробила нові методи атак спеціально для криптовалютної індустрії.

Кампанія GhostCall фокусується на використанні фальшивих телефонних дзвінків та соціальної інженерії для встановлення довіри з потенційними жертвами. Зловмисники видають себе за представників легітимних криптовалютних компаній або інвесторів.

Тим часом GhostHire імітує процеси найму персоналу в криптовалютних та блокчейн-компаніях. Атакувальники створюють фальшиві вакансії та проводять “співбесіди” з метою отримання доступу до корпоративних систем.

Технічні особливості атак BlueNoroff

Дослідники виявили, що нові ланцюги шкідливого ПЗ використовують кілька етапів для уникнення виявлення:

• Початкове зараження через соціальну інженерію
• Завантаження додаткових модулів з віддалених серверів
• Встановлення постійного доступу до системи
• Збір інформації про криптовалютні гаманці та ключі
• Крадіжка цифрових активів

Особливістю цих атак є використання легітимних сервісів для розміщення шкідливого коду, що ускладнює їх виявлення традиційними засобами захисту.

Цілі операції SnatchCrypto

Більш широка кампанія SnatchCrypto, частиною якої є GhostCall та GhostHire, має на меті:

1. Проникнення в інфраструктуру криптовалютних бірж
2. Компрометацію особистих криптогаманців високовартісних цілей
3. Крадіжку інтелектуальної власності блокчейн-проєктів
4. Збір розвідувальної інформації про криптовалютну індустрію

За оцінками експертів, група BlueNoroff вже вкрала криптовалют на суму понад $1.7 мільярда доларів протягом останніх років.

Методи захисту від GhostCall та GhostHire

Для захисту від цих загроз Kaspersky рекомендує наступні заходи:

Для компаній:

• Впровадження багатофакторної автентифікації для всіх критичних систем
• Регулярне навчання співробітників розпізнаванню соціальної інженерії
• Використання EDR-рішень для моніторингу підозрілої активності
• Сегментація мережі для обмеження поширення атак

Для індивідуальних користувачів:

• Обережність при отриманні несподіваних дзвінків від “інвесторів”
• Перевірка легітимності компаній перед участю в “співбесідах”
• Використання апаратних криптогаманців для зберігання активів
• Регулярне оновлення антивірусного програмного забезпечення

Глобальний контекст загроз від Північної Кореї

Активність BlueNoroff є частиною більш широкої стратегії Північної Кореї щодо використання кіберзлочинності для обходу міжнародних санкцій. Вкрадені криптовалюти часто використовуються для фінансування ядерної програми країни.

Експерти відзначають, що північнокорейські хакерські групи постійно вдосконалюють свої методи та адаптуються до нових технологій у криптовалютній сфері. Це робить їх однією з найсерйозніших загроз для індустрії Web3.

Виявлення кампаній GhostCall та GhostHire підкреслює важливість постійної пильності та співпраці між компаніями криптовалютного сектору для протидії цим загрозам. Тільки спільними зусиллями можна ефективно захиститися від складних атак державного рівня.

Ця стаття Дослідники виявили GhostCall та GhostHire: нові ланцюги шкідливого ПЗ BlueNoroff раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин