Tim za globalno istraživanje i analizu kompanije Kaspersky (GReAT) otkrio je sofisticiranu zlonamernu kampanju Lazarus grupe za napredne trajne pretnje (APT), koja targetira investitore u kriptovalute širom sveta. Napadači su koristili veb stranicu lažne kriptoigre koja je zloupotrebila ranjivost nultog dana Google Chrome pretraživača da instaliraju spajver i ukradu akreditive novčanika za kriptovalute. Ovi nalazi su predstavljeni na SAS konferenciji koja se ove godine održava na Baliju.
U maju 2024. godine, stručnjaci kompanije Kaspersky, analizirajući incidente u okviru Kaspersky Security Network telemetrije, identifikovali su napad pomoću Manuscript malvera koji koristi Lazarus grupa od 2013. godine i koji je Kasperski GReAT tim otkrio u preko 50 jedinstvenih kampanja usmerenih na različite industrije. Dalja analiza je otkrila sofisticiranu zlonamernu kampanju koja se u velikoj meri oslanjala na tehnike socijalnog inženjeringa i generativnu veštačku inteligenciju za targetiranje investitora u kriptovalute.
Lazarus grupa je poznata po svojim visoko naprednim napadima na platforme kriptovaluta i ima istoriju korišćenja eksploita nultog dana. Ova novootkrivena kampanja je pratila isti obrazac: istraživači kompanije Kaspersky otkrili su da je akter pretnje iskoristio dve ranjivosti, uključujući prethodno nepoznatu type confusion grešku u V8, Google-ovom open-source JavaScript-u i WebAssembly osnovnom programu. Ova ranjivost nultog dana je ispravljena kao CVE-2024-4947 nakon što ju je Kaspersky prijavio Google-u. To je omogućilo napadačima da izvrše proizvoljan kod, zaobiđu sigurnosne funkcije i sprovode razne zlonamerne aktivnosti. Još jedna ranjivost je korišćena da se zaobiđe Google Chrome V8 sandbox zaštita.
Napadači su iskoristili ovu ranjivost kroz temeljno dizajniranu veb stranicu lažne igre koja je pozivala korisnike da se globalno takmiče sa NFT tenkovima. Fokusirali su se na izgradnju osećaja poverenja kako bi maksimizirali efikasnost kampanje, dizajnirajući detalje tako da promotivne aktivnosti izgledaju što je moguće autentičnije. Ovo je uključivalo kreiranje naloga na društvenim mrežama X (ranije Twitter) i LinkedIn za promociju igre tokom nekoliko meseci, koristeći slike generisane veštačkom inteligencijom za povećanje kredibiliteta. Lazarus je uspešno integrisao generativnu veštačku inteligenciju u svoje operacije, a stručnjaci kompanije Kaspersky predviđaju da će napadači osmisliti još sofisticiranije napade koristeći ovu tehnologiju.
Napadači su takođe pokušali da angažuju influensere u oblasti kriptovaluta za dalju promociju, koristeći njihovo prisustvo na društvenim medijima ne samo da distribuiraju pretnju već i da direktno targetiraju njihove kripto naloge.
„Iako smo ranije viđali APT aktere koji žele finansijsku dobit, ova kampanja je bila jedinstvena. Napadači su prevazišli tipične taktike koristeći potpuno funkcionalnu igru kao pokriće za zloupotrebu Google Chrome ranjivosti nultog dana i zaražavanje targetiranih sistema. Sa ozloglašenim akterima kao što je Lazarus, čak i naizgled bezazlene radnje, kao što je otvaranje linka na društvenoj mreži ili u imejlu, mogu dovesti do potpunog ugrožavanja personalnog računara ili čitave korporativne mreže. Značajan napor uložen u ovu kampanju sugeriše da su imali ambiciozne planove, a stvarni uticaj bi mogao biti mnogo širi sa potencijalnim uticajem na korisnike i preduzeća širom sveta“, rekao je Boris Larin, glavni stručnjak za bezbednost u GReAT timu kompanije Kaspersky.
Stručnjaci kompanije Kaspersky otkrili su legitimnu igru koja je verovatno bila prototip za verziju napadača. Ubrzo nakon što su napadači pokrenuli kampanju za promociju svoje igre, pravi programeri igre su tvrdili da je 20.000 dolara u kriptovaluti ukradeno iz njihovog novčanika. Logo i dizajn lažne igre u velikoj meri prate original, razlikuju se samo po postavljanju logotipa i vizuelnom kvalitetu. Imajući u vidu ove sličnosti i preklapanja u kodu, stručnjaci kompanije Kaspersky naglašavaju da su se članovi Lazarusa jako potrudili da daju kredibilitet svom napadu. Napravili su lažnu igru koristeći ukradeni izvorni kod, zamenjujući logotipe i sve reference na legitimnu igru kako bi poboljšali iluziju autentičnosti u njihovoj skoro identičnoj verziji.
Detalji zlonamerne kampanje predstavljeni su na konferenciji SAS, Samitu analitičara bezbednosti (Security Analyst Summit) na Baliju, a sada je ceo izveštaj dostupan na Securelist.com.
O timu za globalno istraživanje i analizu
Osnovan 2008. godine, Tim za globalno istraživanje i analizu (GReAT) radi u samom srcu kompanije Kaspersky, otkrivajući APT-ove, kampanje sajber špijunaže, veliki malver, ransomver i podzemne trendove sajber-kriminala širom sveta. Danas se GReAT tim sastoji od 40+ stručnjaka koji rade širom sveta – u Evropi, Rusiji, Latinskoj Americi, Aziji, Bliskom istoku. Talentovani profesionalci za bezbednost omogućavaju kompaniji da bude lider u istraživanju i inovacijama u borbi protiv malvera, donoseći nenadmašnu stručnost, strast i radoznalost u otkrivanju i analizi sajber pretnji.