W 2018 roku badacze z firmy Kaspersky opublikowali wyniki badania dotycz?cego AppleJeus – operacji kradzie?y kryptowaluty przeprowadzonej przez niezwykle produktywne ugrupowanie cyberprzest?pcze Lazarus. Wed?ug nowych ustale? cybergang kontynuuje operacj?, ale dzia?a z wi?ksz? ostro?no?ci?, stosuj?c udoskonalone taktyki i procedury, jak równie? wykorzystuj?c komunikator Telegram jako jeden z nowych wektorów ataków. W?ród ofiar znajduj? si? osoby z Wielkiej Brytanii, Polski, Rosji oraz Chin, a kilka z nich ma powi?zania z podmiotami z bran?y kryptowaluty.
Lazarus to jedno z najaktywniejszych i najproduktywniejszych cybergangów, które przeprowadzi?o wiele kampanii wymierzonych w organizacje zwi?zane z finansami oraz kryptowalut?. Podczas swojej operacji AppleJeus w 2018 r. ugrupowanie to uruchomi?o fa?szyw? firm? kryptowalutow? w celu rozprzestrzeniania zmodyfikowanej aplikacji oraz wykorzystania zaufania potencjalnych ofiar. W operacji tej Lazarus wykorzysta? swoje pierwsze szkodliwe oprogramowanie dla systemu macOS. Aplikacja ta by?a pobierana przez u?ytkowników ze stron osób trzecich, natomiast szkodliwa funkcja by?a rozprzestrzeniana pod przykrywk? regularnej aktualizacji aplikacji. Umo?liwia?a ona atakuj?cym zdobycie pe?nej kontroli nad urz?dzeniami u?ytkowników oraz kradzie? kryptowaluty.
Badacze z firmy Kaspersky zidentyfikowali znacz?ce ró?nice w taktykach stosowanych przez ugrupowanie w kontynuacji tej operacji. Sposób przeprowadzania ataków w 2019 r. przypomina? wprawdzie ten znany z poprzedniego roku, ale zawiera? kilka udoskonale?. Tym razem gang Lazarus przygotowa? fa?szywe strony internetowe zwi?zane z kryptowalut?, które zawiera?y odsy?acze do fa?szywych kana?ów Telegrama i rozprzestrzenia?y szkodliwe oprogramowanie za po?rednictwem tego komunikatora.
Podobnie jak w przypadku pierwotnej operacji AppleJeus, atak sk?ada? si? z dwóch faz. Najpierw u?ytkownicy pobierali aplikacj?, a nast?pnie powi?zany z ni? modu? pobiera? ze zdalnego serwera kolejn? szkodliw? funkcj?, która zapewnia?a atakuj?cym pe?n? kontrol? nad zainfekowanym urz?dzeniem przy pomocy trojana otwieraj?cego „tyln? furtk?” (tzw. backdoor). Jednak tym razem szkodliwa funkcja by?a dostarczana w sposób dyskretny w celu unikni?cia wykrycia przez rozwi?zania stosuj?ce detekcj? w oparciu o zachowanie procesów w systemie. W atakach na cele dzia?aj?ce w systemie macOS modu? pobieraj?cy szkodliwe funkcje zosta? wzbogacony o mechanizm uwierzytelniania, zmieniono ?rodowisko programistyczne i przyj?to bezplikow? technik? infekcji. Podczas ataków na u?ytkowników systemu Windows zamiast wykorzystywania szkodliwego oprogramowania Fallchill (które by?o stosowane w pierwszej operacji AppleJeus) stworzono szkodnika, który dzia?a? wy??cznie w okre?lonych systemach po sprawdzeniu ich pod k?tem okre?lonych parametrów. Zmiany te pokazuj?, ?e Lazarus przyk?ada coraz wi?ksz? wag? do zapobiegania wykrycia swoich dzia?a?.
Lazarus dokona? równie? znacz?cych modyfikacji w szkodliwym oprogramowaniu dla systemu macOS i zwi?kszy? liczb? jego wersji. W przeciwie?stwie do wcze?niejszego ataku, podczas którego cyberugrupowanie wykorzysta?o oparte na otwartym ?ródle oprogramowanie QtBitcoinTrader w celu stworzenia specjalnego instalatora macOS, podczas kolejnej fali ataku gang zacz?? wykorzystywa? w?asny kod. To oznacza, ?e cyberugrupowanie b?dzie z du?ym prawdopodobie?stwem nadal tworzy?o modyfikacje szkodliwego oprogramowania dla macOS.
Kontynuacja operacji AppleJeus pokazuje, ?e mimo stagnacji na rynkach kryptowaluty cybergang Lazarus nadal inwestuje w ataki zwi?zane z tym sektorem, które w efekcie staj? si? bardziej wyrafinowane. Dalsze zmiany i zró?nicowanie szkodliwego oprogramowania sugeruje, ?e ataki te odnotuj? prawdopodobnie wzrost ilo?ciowy i stan? si? jeszcze powa?niejszym zagro?eniem – komentuje Seongsu Park, badacz ds. cyberbezpiecze?stwa z firmy Kaspersky.
Ugrupowanie Lazarus, znane z wyrafinowanych operacji oraz zwi?zków z Kore? Pó?nocn?, wyró?nia si? nie tylko atakami maj?cymi na celu cyberszpiegostwo i cybersabota?, ale równie? dzia?aniami motywowanymi finansowo. Wielu badaczy, w tym eksperci z firmy Kaspersky, ju? wcze?niej informowa?o o atakach tego ugrupowania wymierzonych w banki oraz inne du?e przedsi?biorstwa finansowe.
