Группировка Lazarus продолжает свою кибератакующую кампанию в 2024 году, используя новые и более изощренные методы. В рамках кампании “Contagious Interview” злоумышленники под видом собеседований на вакансии внедряют вредоносное ПО в системы жертв. Ключевым элементом этой атаки является загрузка проекта на базе Node.js, содержащего малварь под названием BeaverTail, которая затем устанавливает Python-бэкдор InvisibleFerret.
BeaverTail впервые была обнаружена в ноябре 2023 года в виде JavaScript-вредоносного ПО. Однако в 2024 году исследователи обнаружили новую версию для macOS. Кроме того, недавно был выявлен фальшивый Windows-приложение для видеоконференций, замаскированное под легитимную программу, которое также оказалось частью атаки с использованием BeaverTail.
Исследователи отметили, что Lazarus адаптирует свои инструменты и добавляет новые функции для улучшения скрытности атак. Например, было обнаружено, что Python-версия BeaverTail включает поддержку удаленного доступа через AnyDesk и используется для эксфильтрации данных через Telegram. В качестве целей группировка выбирает профессионалов в сфере блокчейн-технологий и игр, расширяя свои атаки на репозитории, связанные с криптовалютами и игровыми проектами.
Также наблюдается активное использование поддельных видеоконференц-приложений. Например, одно из таких приложений, названное FCCCall, является копией легитимного сервиса, но при установке незаметно запускает вредоносные процессы. Оно собирает данные из браузеров, расширений для криптовалютных кошельков и менеджеров паролей, после чего передает их на удалённый сервер злоумышленников.
Анализ показал, что Lazarus внедряет свои инструменты через платформы для совместной работы над кодом, такие как GitHub, скрывая вредоносные скрипты внутри легитимных проектов. Эти скрипты загружают основные компоненты BeaverTail, в том числе Python-библиотеки, а также набор скриптов, который исследователи назвали CivetQ. Эти инструменты позволяют атакующим получать доступ к данным из браузеров, красть информацию из менеджеров паролей и криптовалютных кошельков, а также сохранять контроль над зараженными устройствами через AnyDesk.
Малварь активно развивается: наблюдаются регулярные обновления кода и добавление новых функций, таких как кража данных из браузеров и приложений для двухфакторной аутентификации, расширение списка целей для атак, включая менеджеры паролей и заметки Microsoft Sticky Notes.
Кибератаки Lazarus продолжают представлять значительную угрозу. Тщательная проверка программ и приложений перед установкой, а также использование современных средств кибербезопасности, таких как антивирусные программы и решения для защиты от цифровых рисков, помогут снизить вероятность успешного проникновения таких угроз в системы.