Согласно новому отчету ИБ-компании Volexity, северокорейская хакерская группа Lazarus проводит новую кампанию, распространяя поддельные криптовалютные приложения под вымышленным брендом “BloxHolder” для установки вредоносного ПО AppleJeus, чтобы получить начальный доступ к сетям и украсть криптоактивы.
Новая кампания Lazarus началась в июне 2022 года и действовала как минимум до октября 2022 года. В этой кампании злоумышленники использовали домен “bloxholder[.]com”, клон автоматизированной платформы для торговли криптовалютой HaasOnline.
Настоящий (слева) и клонированный сайт (справа)
Фишинговый сайт распространял MSI-установщик Windows, который выдавал себя за приложение BloxHolder. На самом деле это было северокорейское вредоносное ПО для кражи криптовалюты AppleJeus , которое доставляется под видом легитимного приложения для торговли биткоином QT Bitcoin Trader.
После установки через цепочку заражения MSI AppleJeus создает запланированную задачу и помещает дополнительные файлы в папку “%APPDATA%RoamingBloxholder”. Затем вредоносное ПО отправляет на сервер управления и контроля (C&C) через POST-запрос следующую информацию о системе:
- MAC-адрес;
- имя компьютера;
- версия ОС.
Так вредоносное ПО определяет в какой среде оно работает – на виртуальной машине или в песочнице.
Также в недавних кампаниях группировка использует технику DLL Sideloading для установки вредоносного ПО из доверенного процесса, избегая обнаружения AV-систем.
Цепочка атаки DLL Sideloading
Исследователи Volexity заявили, что причина, по которой Lazarus выбрала технику DLL Sideloading неясна, но может заключаться в том, чтобы препятствовать анализу вредоносного ПО.
Еще одна новая особенность последних образцов AppleJeus заключается в том, что все его строки и вызовы API теперь запутываются с помощью специального алгоритма, что делает их более незаметными для продуктов безопасности.