Продолжающееся падение цен на криптовалютном рынке не повлияло на интерес хакеров из Северной Кореи к цифровым активам, утверждается в очередном отчете Лаборатории Касперского. Главной целью знаменитой группы Lazarus APT продолжают оставаться криптовалютные биржи и компании, занятые в индустрии цифровых активов. При этом, по утверждению специалистов по кибернетической безопасности, группа постоянно развивается и совершенствует свои методики для предотвращения обнаружения взломов.
Под угрозой платформы на macOS
Лаборатория Касперского уже публиковала в середине 2018 года отчет «Операция Applejeus» о преступной деятельности Lazarus, группы, которая предположительно финансируется и управляется северокорейским правительством. В отчете впервые было отмечено, что хакеры переориентировались на платформы, работающие под управлением macOS. С тех пор деятельность Lazarus в этом направлении только активизировалась.
Специалисты Касперского выявили как минимум одну операцию, направленную на атаку цифрового финансового сектора с применением PowerShell. Северокорейские хакеры разработали собственные сценарии PowerShell, которые взаимодействуют со злонамеренными серверами C2 и выполняют команды оператора. Имена сценариев сервера C2 замаскированы под файлы WordPress, а также файлы других популярных проектов с открытым исходным кодом.
Эксперты считают, что основной причиной концентрации Lazarus на платформах, работающих под управлением macOS, является «…высокая популярность продуктов Apple среди успешных интернет-стартапов и финтех-компаний».
Лаборатория Касперского обращается ко всем проектам, работающим с Windows и macOS быть более осторожными, чтобы не стать жертвой Lazarus.
«Если вы являетесь частью развивающейся криптовалютной индустрии будьте особенно осторожны при работе с новыми третьими лицами или при установке программного обеспечения в своих системах».
Предлагается постоянно использовать антивирусные программы, отключать автоматическое включение макросов «…в документах Microsoft Office, полученных из новых или ненадежных источников».
Напомним, вчера появилось сообщение о попытке взлома биржи DragonEx и похищении 20 различных криптовалют, переведенных на 20 кошельков. Некоторые кошельки преступников уже заблокированы.