Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης (GReAT) της Kaspersky αποκάλυψε μια σύνθετη κακόβουλη εκστρατεία από την ομάδα Lazarus Advanced Persistent Threat (APT), η οποία στοχοποίησε επενδυτές κρυπτονομισμάτων σε παγκόσμιο επίπεδο. Οι επιτιθέμενοι δημιούργησαν έναν ψεύτικο ιστότοπο κρυπτοπαιχνιδιών, αξιοποιώντας μια ευπάθεια zero-day στο Google Chrome για να εγκαταστήσουν κατασκοπευτικό λογισμικό και να υποκλέψουν δεδομένα πορτοφολιών. Τα ευρήματα αυτά παρουσιάστηκαν στο Security Analyst Summit 2024, που πραγματοποιήθηκε στο Μπαλί.
Τον Μάιο του 2024, οι ειδικοί της Kaspersky, αναλύοντας περιστατικά από την τηλεμετρία του Kaspersky Security Network, εντόπισαν μια επίθεση που αξιοποιούσε το κακόβουλο λογισμικό Manuscrypt. Το Manuscrypt, το οποίο χρησιμοποιείται από την ομάδα Lazarus από το 2013, έχει εντοπιστεί από την ομάδα GReAT της Kaspersky σε πάνω από 50 διαφορετικές εκστρατείες που στοχεύουν ποικίλους κλάδους. Μετά από περαιτέρω ανάλυση, αποκαλύφθηκε μια σύνθετη κακόβουλη εκστρατεία που βασιζόταν σε μεγάλο βαθμό σε τεχνικές κοινωνικής μηχανικής και στην παραγωγική τεχνητή νοημοσύνη (generative AI), με στόχο επενδυτές κρυπτονομισμάτων.
Η ομάδα Lazarus φημίζεται για τις εξαιρετικά προηγμένες επιθέσεις της σε πλατφόρμες κρυπτονομισμάτων και έχει ιστορικό εκμετάλλευσης ευπαθειών zero-day. Η νέα αυτή εκστρατεία ακολούθησε το ίδιο μοτίβο: Οι ερευνητές της Kaspersky ανακάλυψαν ότι οι δράστες εκμεταλλεύτηκαν δύο ευπάθειες, συμπεριλαμβανομένου ενός άγνωστου έως τώρα σφάλματος σύγχυσης τύπων (type confusion) στο V8 και τις μηχανές ανοιχτού κώδικα JavaScript και WebAssembly της Google. Η ευπάθεια αυτή διορθώθηκε ως CVE-2024-4947, μετά την αναφορά της Kaspersky στην Google. Επέτρεψε όμως στους επιτιθέμενους να εκτελέσουν αυθαίρετο κώδικα, να παρακάμψουν δυνατότητες ασφαλείας και να διεξάγουν διάφορες κακόβουλες δραστηριότητες. Μια διαφορετική ευπάθεια χρησιμοποιήθηκε για την παράκαμψη της προστασίας sandbox του V8 στο Google Chrome.
Οι επιτιθέμενοι αξιοποίησαν την ευπάθεια αυτή μέσω ενός άρτια κατασκευασμένου ψεύτικου ιστότοπου παιχνιδιού, που προσκαλούσε τους χρήστες να συμμετάσχουν σε διαγωνισμούς με NFT tanks σε παγκόσμιο επίπεδο. Επικεντρώθηκαν στην οικοδόμηση εμπιστοσύνης για να μεγιστοποιήσουν την αποτελεσματικότητα της εκστρατείας, δημιουργώντας λεπτομερή στοιχεία που έκαναν τις προωθητικές ενέργειες να φαίνονται όσο το δυνατόν πιο αληθοφανείς. Αυτό περιλάμβανε τη δημιουργία λογαριασμών στα κοινωνικά δίκτυα X (πρώην Twitter) και LinkedIn για την προώθηση του παιχνιδιού, με διάρκεια αρκετών μηνών. Χρησιμοποίησαν εικόνες που δημιουργήθηκαν μέσω τεχνητής νοημοσύνης για να ενισχύσουν την αξιοπιστία του ιστότοπου. Η ομάδα Lazarus έχει ενσωματώσει με επιτυχία την τεχνητή νοημοσύνη στις επιχειρήσεις της, και οι ειδικοί της Kaspersky προβλέπουν ακόμη πιο σύνθετες επιθέσεις από την ομάδα που θα αξιοποιούν τέτοιες τεχνολογίες.
Οι επιτιθέμενοι προσπάθησαν επίσης να επιστρατεύσουν crypto influencers για να ενισχύσουν την προώθηση της εκστρατείας, εκμεταλλευόμενοι την παρουσία τους στα social media, όχι μόνο για να διαδώσουν την απειλή αλλά και για να στοχοποιήσουν απευθείας τους λογαριασμούς κρυπτονομισμάτων τους.
Ψεύτικος ιστότοπος κρυπτονομισμάτων που εκμεταλλεύτηκε ευπάθεια zero–day ώστε να εγκαταστήσει κακόβουλο λογισμικό.
«Αν και έχουμε δει APT παράγοντες να επιδιώκουν οικονομικό κέρδος στο παρελθόν, η εκστρατεία αυτή ήταν μοναδική. Οι επιτιθέμενοι ξεπέρασαν τις τυπικές τακτικές χρησιμοποιώντας ένα πλήρως λειτουργικό παιχνίδι ως κάλυψη για να εκμεταλλευτούν μια ευπάθεια zero–day στο Google Chrome και να μολύνουν τα στοχοποιημένα συστήματα. Μέσω επικίνδυνων απειλητικών φορέων, όπως η Lazarus, ακόμη και φαινομενικά αθώες ενέργειες—όπως το να κάνεις κλικ σε έναν σύνδεσμο στα κοινωνικά δίκτυα ή σε ένα email—μπορεί να θέσουν σε κίνδυνο συνολικά έναν προσωπικό υπολογιστή ή ένα ολόκληρο εταιρικό δίκτυο. Η προσπάθεια που αφιερώθηκε στο εγχείρημα αυτό καταδεικνύει τα φιλόδοξα σχέδια της ομάδας, και ο αντίκτυπος θα μπορούσε να είναι πολύ ευρύτερος, επηρεάζοντας πιθανώς χρήστες και επιχειρήσεις παγκοσμίως» δήλωσε ο Boris Larin, Principal Security Expert στην GReAT της Kaspersky.
Οι ειδικοί της Kaspersky ανακάλυψαν ένα νόμιμο παιχνίδι που φαίνεται πως ήταν το πρότυπο για την εκδοχή των επιτιθεμένων. Λίγο μετά την εκκίνηση της καμπάνιας προώθησης του παιχνιδιού τους, οι πραγματικοί προγραμματιστές του παιχνιδιού δήλωσαν ότι είχαν μεταφερθεί 20.000 δολάρια σε κρυπτονόμισματα από το πορτοφόλι τους. Το λογότυπο και ο σχεδιασμός του ψεύτικου παιχνιδιού ήταν πολύ παρόμοια με τα αυθεντικά, διαφέροντας μόνο στη θέση του λογότυπου και την ποιότητα της εικόνας. Δεδομένων αυτών των ομοιοτήτων και των ταυτίσεων στον κώδικα, οι ειδικοί της Kaspersky τονίζουν ότι τα μέλη της Lazarus έκαναν μεγάλη προσπάθεια να εμφανίζονται αξιόπιστοι. Δημιούργησαν ένα ψεύτικο παιχνίδι χρησιμοποιώντας κλεμμένο πηγαίο κώδικα, αντικαθιστώντας τα λογότυπα και όλες τις αναφορές στο νόμιμο παιχνίδι ώστε να ενισχύσουν την ψευδαίσθηση της αυθεντικότητας στη σχεδόν πανομοιότυπη εκδοχή τους.
Λεπτομέρειες της κακόβουλης εκστρατείας παρουσιάστηκαν στο Security Analyst Summit στο Μπαλί και η πλήρης αναφορά είναι τώρα διαθέσιμη στο Securelist.