Северокорейская хакерская группировка Lazarus, связанная с государством, развернула новую кампанию с использованием вредоносного ПО для операционной системы macOS, нацеленную на руководителей компаний в сфере финансовых технологий и криптовалют. Об этом сообщила компания по обеспечению безопасности блокчейна CertiK.
Операция, получившая название «Mach-O Man», сочетает методы социальной инженерии и вредоносные нагрузки, выполняемые через терминал, для кражи криптовалют и конфиденциальных корпоративных данных. Особенностью инструментария является его способность практически не оставлять следов на диске после выполнения задач.
По данным исследователей CertiK, кампания основана на технике «ClickFix». Жертв заманивают на поддельные онлайн-встречи (например, через фальшивые приглашения), в ходе которых их обманом заставляют вставить в терминал macOS команды, маскирующиеся под «ремонтные» или «верификационные». После использования инструментарий автоматически удаляется, что затрудняет последующий криминалистический анализ.
Согласно данным компании SOC Prime, фреймворк «Mach-O Man» связан с подразделением Lazarus «Famous Chollima». Распространение происходит через скомпрометированные аккаунты в Telegram и фальшивые приглашения на встречи, нацеленные на высокоценные крипто- и финансовые организации. Набор инструментов включает несколько исполняемых файлов Mach-O, предназначенных для сбора информации о системе, обеспечения постоянного доступа, а также хищения учетных данных и данных браузера через командный центр, работающий через Telegram.
Исследователи также связали эту волну атак с более широкой активностью Lazarus, которая за последние две недели позволила похитить более $500 млн с децентрализованных финансовых (DeFi) платформ Drift и KelpDAO. В этих инцидентах, по утверждениям, Lazarus сочетал социальную инженерию против торговой фирмы с изощренной кросс-чейн атакой, позволившей злоумышленникам сгенерировать примерно 116 500 rsETH и вывести активы на сумму около $292 млн.
Компания LayerZero, предоставляющая мостовую инфраструктуру, которую использовал KelpDAO, заявила, что группировка Lazarus из Северной Кореи является «вероятным исполнителем» атаки с rsETH, и возложила вину на архитектуру с единой точкой отказа в верификаторе, которая позволила осуществить подделку межсетевого сообщения.
По данным издания SecurityWeek, Lazarus годами атакует криптовалютную экосистему, похитив виртуальных активов примерно на $2 млрд в 2023 и 2024 годах. На фоне того, что сектор DeFi переживает, по оценкам исследователей, худший месяц по количеству взломов, рынки фактически учитывают в своих ожиданиях еще одну атаку с ущербом более $100 млн в этом году, что подчеркивает, насколько атаки, связанные с государствами, такие как кампании Lazarus, стали системным риском для криптоиндустрии.
