Совместное расследование, проведенное компаниями BCA LTD и NorthScan при технической поддержке платформы , завершилось беспрецедентным успехом в сфере кибербезопасности. Исследователям удалось заманить злоумышленников из Северной Кореи в контролируемую виртуальную среду и впервые записать их операционные действия в режиме реального времени. Ключевую роль в руководстве расследованием и развертывании виртуальных машин сыграл основатель BCA LTD Мауро Элдрич, в то время как интерактивная песочница обеспечила необходимую среду для безопасного анализа вредоносной активности.
Основным объектом операции стала известная хакерская группировка Lazarus Group, а именно ее подразделение Famous Chollima. Злоумышленники нацелены на проникновение в западные компании, работающие в сферах финансов, криптовалют, здравоохранения и инженерии. Стратегия группы заключается в найме подставных лиц («фронтменов»), что позволяет внедрять северокорейских ИТ-специалистов в штаты целевых организаций. В рамках данного кейса вербовщик, использовавший псевдоним «Аарон» (также известный как «Блейз»), вышел на контакт с целью предложить фальшивую вакансию.
Роль жертвы исполнил исследователь из организации NorthScan Хайнер Гарсия, который выдавал себя за американского разработчика программного обеспечения. В процессе общения «Блейз», позиционировавший себя как представитель бизнеса по трудоустройству, выдвинул жесткие требования кандидату. От исследователя требовали предоставить полный доступ к личной жизни и цифровой личности, включая номер социального страхования (SSN), удостоверения личности, доступы к аккаунтам LinkedIn и Gmail, а также обеспечить круглосуточную доступность ноутбука.
Для реализации ловушки использовалась интерактивная песочница , сконфигурированная как «ферма ноутбуков». Виртуальные машины были тщательно настроены для имитации реальных активных рабочих станций с историей использования и инструментами разработчика. Трафик маршрутизировался через резидентные прокси-серверы США, создавая видимость легитимного местоположения. Это позволило команде исследователей фиксировать каждое движение хакеров, делать снимки системы и при необходимости принудительно прерывать соединение или замедлять его, не вызывая подозрений у операторов.
Получив доступ через синхронизацию профиля Chrome, операторы Famous Chollima первым делом приступили к проверке окружения, чтобы убедиться, что они не попали в ханипот. Для разведки системы использовались стандартные команды командной строки:
Технический анализ показал, что вместо традиционного тяжелого вредоносного ПО атакующие использовали специфический «легкий» набор инструментов, ориентированный на захват личности и удаленное управление. Для автоматизации процессов трудоустройства и генерации ответов на собеседованиях применялись инструменты на базе искусственного интеллекта: Simplify Copilot, AiApply и Final Round AI. Это подтверждает использование современных технологий для массового заполнения заявок на вакансии.
Для контроля двухфакторной аутентификации (2FA) жертвы после получения документов злоумышленники установили браузерные расширения и сервисы, такие как и . Постоянный удаленный доступ к машине был организован через Google Remote Desktop, который настраивался с помощью скриптов PowerShell с заданным фиксированным PIN-кодом. Это обеспечивало операторам Lazarus стабильный и скрытый канал управления компьютером.
Прямое общение с жертвой осуществлялось через текстовый файл «Блокнот» (Notepad), созданный оператором на рабочем столе. В сообщении содержалось требование загрузить удостоверение личности, SSN и банковские реквизиты. Данный инцидент наглядно демонстрирует, что удаленные процессы найма стали надежным вектором для атак, связанных с кражей личности, создавая риски компрометации внутренних информационных панелей компаний и хищения конфиденциальных бизнес-данных.
Изображение носит иллюстративный характер
Основным объектом операции стала известная хакерская группировка Lazarus Group, а именно ее подразделение Famous Chollima. Злоумышленники нацелены на проникновение в западные компании, работающие в сферах финансов, криптовалют, здравоохранения и инженерии. Стратегия группы заключается в найме подставных лиц («фронтменов»), что позволяет внедрять северокорейских ИТ-специалистов в штаты целевых организаций. В рамках данного кейса вербовщик, использовавший псевдоним «Аарон» (также известный как «Блейз»), вышел на контакт с целью предложить фальшивую вакансию.
Роль жертвы исполнил исследователь из организации NorthScan Хайнер Гарсия, который выдавал себя за американского разработчика программного обеспечения. В процессе общения «Блейз», позиционировавший себя как представитель бизнеса по трудоустройству, выдвинул жесткие требования кандидату. От исследователя требовали предоставить полный доступ к личной жизни и цифровой личности, включая номер социального страхования (SSN), удостоверения личности, доступы к аккаунтам LinkedIn и Gmail, а также обеспечить круглосуточную доступность ноутбука.
Для реализации ловушки использовалась интерактивная песочница , сконфигурированная как «ферма ноутбуков». Виртуальные машины были тщательно настроены для имитации реальных активных рабочих станций с историей использования и инструментами разработчика. Трафик маршрутизировался через резидентные прокси-серверы США, создавая видимость легитимного местоположения. Это позволило команде исследователей фиксировать каждое движение хакеров, делать снимки системы и при необходимости принудительно прерывать соединение или замедлять его, не вызывая подозрений у операторов.
Получив доступ через синхронизацию профиля Chrome, операторы Famous Chollima первым делом приступили к проверке окружения, чтобы убедиться, что они не попали в ханипот. Для разведки системы использовались стандартные команды командной строки:
dxdiag, systeminfo и whoami. Вся сетевая активность злоумышленников проходила через Astrill VPN, что является характерным почерком инфраструктуры Lazarus. Реалистичность настроенной среды убедила хакеров в безопасности, и они приступили к развертыванию инструментария. Технический анализ показал, что вместо традиционного тяжелого вредоносного ПО атакующие использовали специфический «легкий» набор инструментов, ориентированный на захват личности и удаленное управление. Для автоматизации процессов трудоустройства и генерации ответов на собеседованиях применялись инструменты на базе искусственного интеллекта: Simplify Copilot, AiApply и Final Round AI. Это подтверждает использование современных технологий для массового заполнения заявок на вакансии.
Для контроля двухфакторной аутентификации (2FA) жертвы после получения документов злоумышленники установили браузерные расширения и сервисы, такие как и . Постоянный удаленный доступ к машине был организован через Google Remote Desktop, который настраивался с помощью скриптов PowerShell с заданным фиксированным PIN-кодом. Это обеспечивало операторам Lazarus стабильный и скрытый канал управления компьютером.
Прямое общение с жертвой осуществлялось через текстовый файл «Блокнот» (Notepad), созданный оператором на рабочем столе. В сообщении содержалось требование загрузить удостоверение личности, SSN и банковские реквизиты. Данный инцидент наглядно демонстрирует, что удаленные процессы найма стали надежным вектором для атак, связанных с кражей личности, создавая риски компрометации внутренних информационных панелей компаний и хищения конфиденциальных бизнес-данных.
