В период с сентября 2024 по январь 2025 года мир стал свидетелем масштабной кибератаки, получившей название «Операция Фантомная Цепь». Ее целью стал криптовалютный сектор и разработчики программного обеспечения, а число жертв достигло 233 по всему миру. Особенно пострадали Бразилия, Франция и Индия, где в январе 2025 года было зафиксировано 110 случаев взлома только на территории Индии.
За этой операцией, как выяснилось, стоит печально известная северокорейская хакерская группировка Lazarus Group. Она использует централизованную веб-платформу администрирования для управления своими кибератаками. Платформа, построенная на основе React и Node.js API, позволяет группе осуществлять контроль над всеми аспектами атак из одного места, что делает ее чрезвычайно опасной.
Интересно, что эта административная панель является неизменным элементом их инфраструктуры управления и контроля (C2), даже при использовании различных полезных нагрузок и методах обфускации. Функционал панели включает управление кражей данных, мониторинг скомпрометированных хостов и доставку вредоносного кода, что указывает на высокий уровень организации и технической оснащенности Lazarus Group.
«Операция Фантомная Цепь» была реализована в форме атаки на цепочку поставок, когда злоумышленники внедряли троянизированные версии легитимного программного обеспечения. Это позволяло им незаметно распространять вредоносное ПО среди ничего не подозревающих пользователей.
Социальная инженерия также играла важную роль в этой кампании. Lazarus Group использовала LinkedIn в качестве начального вектора заражения, размещая фальшивые предложения о работе и сотрудничестве, тем самым заманивая жертв в свои сети.
Связь с Северной Кореей была установлена через использование VPN-сервиса Astrill и шести уникальных северокорейских IP-адресов. Маршрутизация трафика проходила через Astrill VPN, затем через прокси-сервис Oculus, и в конечном итоге достигала серверов C2, размещенных на серверах компании Stark Industries.
Для внедрения вредоносного кода хакеры использовали обфускацию – метод сокрытия настоящего кода. Вредоносные программы были спрятаны внутри легитимного программного обеспечения. Похищение данных и управление C2 осуществлялось через порт 1224. Панель администратора позволяла фильтровать и просматривать украденные данные, что говорило о том, что Lazarus Group способна тщательно анализировать полученную информацию.
Анализ и отчет об этой атаке были проведены командой STRIKE компании SecurityScorecard, а информация была опубликована в издании The Hacker News. Эти исследования выявили не только технические детали атаки, но и географию ее распространения и масштаб последствий.
Таким образом, Lazarus Group демонстрирует свою способность организовывать сложные и глобальные кибератаки, используя передовые технические методы. Комбинирование методов социальной инженерии, атак на цепочку поставок и централизованного управления через веб-панель позволяет им эффективно достигать своих целей. Связь с Северной Кореей делает группу еще более опасной и подчеркивает необходимость принятия комплексных мер безопасности для противостояния киберугрозам.
Изображение носит иллюстративный характер
За этой операцией, как выяснилось, стоит печально известная северокорейская хакерская группировка Lazarus Group. Она использует централизованную веб-платформу администрирования для управления своими кибератаками. Платформа, построенная на основе React и Node.js API, позволяет группе осуществлять контроль над всеми аспектами атак из одного места, что делает ее чрезвычайно опасной.
Интересно, что эта административная панель является неизменным элементом их инфраструктуры управления и контроля (C2), даже при использовании различных полезных нагрузок и методах обфускации. Функционал панели включает управление кражей данных, мониторинг скомпрометированных хостов и доставку вредоносного кода, что указывает на высокий уровень организации и технической оснащенности Lazarus Group.
«Операция Фантомная Цепь» была реализована в форме атаки на цепочку поставок, когда злоумышленники внедряли троянизированные версии легитимного программного обеспечения. Это позволяло им незаметно распространять вредоносное ПО среди ничего не подозревающих пользователей.
Социальная инженерия также играла важную роль в этой кампании. Lazarus Group использовала LinkedIn в качестве начального вектора заражения, размещая фальшивые предложения о работе и сотрудничестве, тем самым заманивая жертв в свои сети.
Связь с Северной Кореей была установлена через использование VPN-сервиса Astrill и шести уникальных северокорейских IP-адресов. Маршрутизация трафика проходила через Astrill VPN, затем через прокси-сервис Oculus, и в конечном итоге достигала серверов C2, размещенных на серверах компании Stark Industries.
Для внедрения вредоносного кода хакеры использовали обфускацию – метод сокрытия настоящего кода. Вредоносные программы были спрятаны внутри легитимного программного обеспечения. Похищение данных и управление C2 осуществлялось через порт 1224. Панель администратора позволяла фильтровать и просматривать украденные данные, что говорило о том, что Lazarus Group способна тщательно анализировать полученную информацию.
Анализ и отчет об этой атаке были проведены командой STRIKE компании SecurityScorecard, а информация была опубликована в издании The Hacker News. Эти исследования выявили не только технические детали атаки, но и географию ее распространения и масштаб последствий.
Таким образом, Lazarus Group демонстрирует свою способность организовывать сложные и глобальные кибератаки, используя передовые технические методы. Комбинирование методов социальной инженерии, атак на цепочку поставок и централизованного управления через веб-панель позволяет им эффективно достигать своих целей. Связь с Северной Кореей делает группу еще более опасной и подчеркивает необходимость принятия комплексных мер безопасности для противостояния киберугрозам.
