Хакеры, связанные с Lazarus Group, создали три подставные криптовалютные компании, чтобы распространять вредоносное ПО среди разработчиков. Две из них были официально зарегистрированы в США, сообщает компания Silent Push, специализирующаяся на кибербезопасности.
Мошеннические фирмы и фальшивые собеседования
Сообщается, что фиктивные структуры BlockNovas LLC и SoftGlide LLC были зарегистрированы в Нью-Мексико и Нью-Йорке. Третья, Angeloper Agency, юридически оформлена не была. За атакой стояла подразделение Contagious Interview, входящее в состав Lazarus Group.
Злоумышленники использовали сайты и поддомены вроде blocknovas[.]com и apply-blocknovas[.]site, чтобы заманить криптовалютных специалистов под видом трудоустройства. Основная цель — установить вредоносные программы, получить доступ к кошелькам и учетным данным и использовать их для дальнейших атак на настоящие компании.
По информации Silent Push, мошенники создавали фальшивые профили сотрудников, сгенерированные при помощи ИИ, и использовали вымышленные адреса. Таким образом они пытались придать легитимность подставным фирмам и повысить доверие у соискателей.
Участившиеся атаки через подставные вакансии
Lazarus Group уже не раз использовала подобную тактику. В 2021 году при помощи фальшивого предложения о работе хакеры получили доступ к сотруднику Sky Mavis, что привело к взлому моста Ronin и краже $625 млн в ETH и USDC. Год спустя аналогичная атака на Horizon Bridge обернулась хищением $100 млн.
По оценкам ООН и Chainalysis, с 2017 года Lazarus похитила более $3 млрд в криптовалютах. Значительная часть этих средств была получена через атаки, связанные с трудоустройством.
Фокус на Европу
На фоне усиления проверок в США Lazarus ищет уязвимости в других регионах. По данным Google Threat Intelligence Group (GTIG), северокорейские разработчики под вымышленными именами стали активнее устраиваться в криптокомпании в Европе и Великобритании. Как пояснил представитель GTIG Джейми Коллиер (Jamie Collier), новые трудовые правила в США усложнили доступ, поэтому злоумышленники выстроили сеть фальшивых профилей для работы в других странах.
GTIG отмечает, что это направление атак будет развиваться, поскольку схемы остаются эффективными, а цифровая инфраструктура Европы менее защищена от подобных угроз.
Данный пост носит исключительно информационный характер и не является рекламой или инвестиционным советом. Пожалуйста, проводите собственное исследование, принимая какие-либо решения.