Η ομάδα χάκερ Lazarus υιοθετεί επιθέσεις ClickFix
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Η ομάδα χάκερ Lazarus υιοθετεί επιθέσεις ClickFix
https://www.secnews.gr/644951/omada-hacker-lazarus-iothetoun-epitheseis-clickfix/
Apr 1st 2025, 13:06
by Absenta Mia
Η διαβόητη ομάδα χάκερ Lazarus από τη Βόρεια Κορέα, φέρεται να έχει υιοθετήσει τακτικές 'ClickFix' για την ανάπτυξη κακόβουλου λογισμικού που στοχεύει σε αναζητητές εργασίας στον τομέα των κρυπτονομισμάτων, ιδίως στo CeFi.
Δείτε επίσης: Η νέα επίθεση ClickFix αναπτύσσει το Havoc C2 μέσω του Sharepoint
Αυτή η εξέλιξη, όπως αναφέρει η Sekoia, θεωρείται εξέλιξη της καμπάνιας 'Contagious Interview' του συγκεκριμένου κακόβουλου παράγοντα, η οποία επίσης στοχεύει σε αναζητητές εργασίας στους τομείς της τεχνητής νοημοσύνης και των κρυπτονομισμάτων.
Η τακτική ClickFix είναι σχετικά νέα αλλά ολοένα και πιο διαδεδομένη, όπου οι απειλητικοί παράγοντες χρησιμοποιούν ψευδή σφάλματα σε ιστοσελίδες ή έγγραφα που υποδεικνύουν πρόβλημα στην προβολή του περιεχομένου. Στη συνέχεια, η σελίδα προτρέπει τον χρήστη να "διορθώσει" το ζήτημα εκτελώντας εντολές PowerShell που κατεβάζουν και εκτελούν το κακόβουλο λογισμικό στο σύστημα.
Η Sekoia αναφέρει ότι η ομάδα Lazarus προσποιείται πολλές γνωστές εταιρείες στην πρόσφατη καμπάνια της, όπως οι Coinbase, KuCoin, Kraken, Circle, Securitize, BlockFi, Tether, Robinhood και Bybit, από τις οποίες οι Βορειοκορεάτες χάκερ έκλεψαν πρόσφατα το ποσό ρεκόρ των 1,5 δισεκατομμυρίων δολαρίων.
Στην καμπάνια Contagious, που καταγράφηκε για πρώτη φορά τον Νοέμβριο του 2023, η Lazarus προσεγγίζει υποψήφιους μέσω LinkedIn ή X, προσφέροντάς τους ευκαιρίες απασχόλησης. Χρησιμοποίησε στη συνέχεια λογισμικό και έργα δοκιμών κωδικοποίησης που φιλοξενούνται σε πλατφόρμες συνεργασίας όπως το GitHub και το Bitbucket, προκειμένου να παρασύρει τους στόχους να κατεβάσουν και να εκτελέσουν κακόβουλους φορτωτές στα συστήματά τους, εγκαθιστώντας κλέφτες πληροφοριών.
Από τον Φεβρουάριο του 2025, η Sekoia αναφέρει ότι η Lazarus έχει αρχίσει να χρησιμοποιεί τις λεγόμενες καμπάνιες 'ClickFake', οι οποίες εφαρμόζουν τακτικές ClickFix για να επιτύχουν το βήμα αυτο-μόλυνσης, διατηρώντας τις προηγούμενες φάσεις της επίθεσης αμετάβλητες. Ωστόσο, οι ερευνητές επισημαίνουν ότι η Contagious Interview είναι ακόμη σε εξέλιξη, υποδεικνύοντας ότι οι χάκερ πιθανόν αξιολογούν την αποτελεσματικότητα των δύο τεχνικών ενώ τις εκτελούν παράλληλα.
Δείτε ακόμα: Χάκερ εκμεταλλεύονται το ClickFix για να αναπτύξουν το NetSupport RAT
Στις επιθέσεις ClickFake, η ομάδα Lazarus άλλαξε στρατηγική, στρέφοντας την προσοχή της από τους προγραμματιστές σε άτομα που κατέχουν μη τεχνικούς ρόλους σε εταιρείες CeFi, όπως οι επιχειρηματικοί αναπτυξιακοί και οι διευθυντές μάρκετινγκ.
Αυτά τα άτομα προσκαλούνται σε μια απομακρυσμένη συνέντευξη μέσω ενός συνδέσμου που οδηγεί σε μια φαινομενικά νόμιμη ιστοσελίδα κατασκευασμένη σε ReactJS, η οποία περιλαμβάνει φόρμες επικοινωνίας, ανοιχτές ερωτήσεις και αίτημα για βίντεο παρουσίασης.
Όταν ο στόχος προσπαθεί να καταγράψει το βίντεο χρησιμοποιώντας την κάμερα του υπολογιστή του, εμφανίζεται ένα ψεύτικο σφάλμα που ισχυρίζεται ότι υπάρχει πρόβλημα με τον οδηγό, εμποδίζοντας την πρόσβαση στην κάμερα και παρέχοντας οδηγίες για την επίλυση του προβλήματος.
Βασισμένο στον User-Agent του προγράμματος περιήγησης, ο ιστότοπος παρέχει οδηγίες που είναι ειδικές για το λειτουργικό σύστημα, υποστηρίζοντας είτε τα Windows είτε το macOS. Τα θύματα καθοδηγούνται να εκτελέσουν μια εντολή curl στο CMD (Windows) ή στο Terminal (macOS), η οποία τους μολύνει με ένα backdoor βασισμένο σε Go, ονόματι 'GolangGhost', και εξασφαλίζει τη συνεχιζόμενη παρουσία της μέσω τροποποίησης του μητρώου και αρχείων plist LaunchAgent.
Αφού αναπτυχθεί, το GolangGhost συνδέεται με τον διακομιστή εντολών και ελέγχου (C2), καταχωρεί τη νέα μολυσμένη συσκευή με μια μοναδική ταυτότητα μηχανής και περιμένει εντολές. Το κακόβουλο λογισμικό έχει τη δυνατότητα να εκτελεί λειτουργίες αρχείων, να εκτελεί εντολές shell, να κλέβει cookies του Chrome, ιστορικό περιήγησης και αποθηκευμένους κωδικούς πρόσβασης, καθώς και να συλλέγει μεταδεδομένα του συστήματος.
Δείτε επίσης: Ανησυχητική άνοδος των ClickFix επιθέσεων μέσω Malvertising "DeceptionAds"
Η ομάδα hacking Lazarus, που χρησιμοποιεί τώρα την τεχνική ClickFix, είναι μια από τις πιο γνωστές και επικίνδυνες ομάδες κυβερνοεπιθέσεων στον κόσμο. Εικάζεται ότι η ομάδα αυτή συνδέεται με την κυβέρνηση της Βόρειας Κορέας, αν και η χώρα δεν έχει ποτέ παραδεχτεί τη συμμετοχή της. Η ομάδα Lazarus έχει αναλάβει πολλές επιθέσεις σε κυβερνητικά συστήματα, τραπεζικά ιδρύματα, μεγάλες εταιρείες και οργανισμούς παγκοσμίως, με στόχο την κλοπή χρημάτων, την απόκτηση πληροφοριών και την πρόκληση γενικής αποσταθεροποίησης. Η ομάδα χρησιμοποιεί διάφορες τεχνικές, όπως το phishing, το malware (κακόβουλο λογισμικό), και την εκμετάλλευση τρωτών σημείων συστημάτων για να πραγματοποιήσει τις επιθέσεις της. Επίσης, είναι γνωστό ότι χρησιμοποιεί εξαιρετικά εξελιγμένα εργαλεία για να καλύψει τα ίχνη της και να διατηρήσει την ανωνυμία της.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Η ομάδα χάκερ Lazarus υιοθετεί επιθέσεις ClickFix
https://www.secnews.gr/644951/omada-hacker-lazarus-iothetoun-epitheseis-clickfix/
Apr 1st 2025, 13:06
by Absenta Mia
Η διαβόητη ομάδα χάκερ Lazarus από τη Βόρεια Κορέα, φέρεται να έχει υιοθετήσει τακτικές 'ClickFix' για την ανάπτυξη κακόβουλου λογισμικού που στοχεύει σε αναζητητές εργασίας στον τομέα των κρυπτονομισμάτων, ιδίως στo CeFi.
Δείτε επίσης: Η νέα επίθεση ClickFix αναπτύσσει το Havoc C2 μέσω του Sharepoint
Αυτή η εξέλιξη, όπως αναφέρει η Sekoia, θεωρείται εξέλιξη της καμπάνιας 'Contagious Interview' του συγκεκριμένου κακόβουλου παράγοντα, η οποία επίσης στοχεύει σε αναζητητές εργασίας στους τομείς της τεχνητής νοημοσύνης και των κρυπτονομισμάτων.
Η τακτική ClickFix είναι σχετικά νέα αλλά ολοένα και πιο διαδεδομένη, όπου οι απειλητικοί παράγοντες χρησιμοποιούν ψευδή σφάλματα σε ιστοσελίδες ή έγγραφα που υποδεικνύουν πρόβλημα στην προβολή του περιεχομένου. Στη συνέχεια, η σελίδα προτρέπει τον χρήστη να "διορθώσει" το ζήτημα εκτελώντας εντολές PowerShell που κατεβάζουν και εκτελούν το κακόβουλο λογισμικό στο σύστημα.
Η Sekoia αναφέρει ότι η ομάδα Lazarus προσποιείται πολλές γνωστές εταιρείες στην πρόσφατη καμπάνια της, όπως οι Coinbase, KuCoin, Kraken, Circle, Securitize, BlockFi, Tether, Robinhood και Bybit, από τις οποίες οι Βορειοκορεάτες χάκερ έκλεψαν πρόσφατα το ποσό ρεκόρ των 1,5 δισεκατομμυρίων δολαρίων.
Στην καμπάνια Contagious, που καταγράφηκε για πρώτη φορά τον Νοέμβριο του 2023, η Lazarus προσεγγίζει υποψήφιους μέσω LinkedIn ή X, προσφέροντάς τους ευκαιρίες απασχόλησης. Χρησιμοποίησε στη συνέχεια λογισμικό και έργα δοκιμών κωδικοποίησης που φιλοξενούνται σε πλατφόρμες συνεργασίας όπως το GitHub και το Bitbucket, προκειμένου να παρασύρει τους στόχους να κατεβάσουν και να εκτελέσουν κακόβουλους φορτωτές στα συστήματά τους, εγκαθιστώντας κλέφτες πληροφοριών.
Από τον Φεβρουάριο του 2025, η Sekoia αναφέρει ότι η Lazarus έχει αρχίσει να χρησιμοποιεί τις λεγόμενες καμπάνιες 'ClickFake', οι οποίες εφαρμόζουν τακτικές ClickFix για να επιτύχουν το βήμα αυτο-μόλυνσης, διατηρώντας τις προηγούμενες φάσεις της επίθεσης αμετάβλητες. Ωστόσο, οι ερευνητές επισημαίνουν ότι η Contagious Interview είναι ακόμη σε εξέλιξη, υποδεικνύοντας ότι οι χάκερ πιθανόν αξιολογούν την αποτελεσματικότητα των δύο τεχνικών ενώ τις εκτελούν παράλληλα.
Δείτε ακόμα: Χάκερ εκμεταλλεύονται το ClickFix για να αναπτύξουν το NetSupport RAT
Στις επιθέσεις ClickFake, η ομάδα Lazarus άλλαξε στρατηγική, στρέφοντας την προσοχή της από τους προγραμματιστές σε άτομα που κατέχουν μη τεχνικούς ρόλους σε εταιρείες CeFi, όπως οι επιχειρηματικοί αναπτυξιακοί και οι διευθυντές μάρκετινγκ.
Αυτά τα άτομα προσκαλούνται σε μια απομακρυσμένη συνέντευξη μέσω ενός συνδέσμου που οδηγεί σε μια φαινομενικά νόμιμη ιστοσελίδα κατασκευασμένη σε ReactJS, η οποία περιλαμβάνει φόρμες επικοινωνίας, ανοιχτές ερωτήσεις και αίτημα για βίντεο παρουσίασης.
Όταν ο στόχος προσπαθεί να καταγράψει το βίντεο χρησιμοποιώντας την κάμερα του υπολογιστή του, εμφανίζεται ένα ψεύτικο σφάλμα που ισχυρίζεται ότι υπάρχει πρόβλημα με τον οδηγό, εμποδίζοντας την πρόσβαση στην κάμερα και παρέχοντας οδηγίες για την επίλυση του προβλήματος.
Βασισμένο στον User-Agent του προγράμματος περιήγησης, ο ιστότοπος παρέχει οδηγίες που είναι ειδικές για το λειτουργικό σύστημα, υποστηρίζοντας είτε τα Windows είτε το macOS. Τα θύματα καθοδηγούνται να εκτελέσουν μια εντολή curl στο CMD (Windows) ή στο Terminal (macOS), η οποία τους μολύνει με ένα backdoor βασισμένο σε Go, ονόματι 'GolangGhost', και εξασφαλίζει τη συνεχιζόμενη παρουσία της μέσω τροποποίησης του μητρώου και αρχείων plist LaunchAgent.
Αφού αναπτυχθεί, το GolangGhost συνδέεται με τον διακομιστή εντολών και ελέγχου (C2), καταχωρεί τη νέα μολυσμένη συσκευή με μια μοναδική ταυτότητα μηχανής και περιμένει εντολές. Το κακόβουλο λογισμικό έχει τη δυνατότητα να εκτελεί λειτουργίες αρχείων, να εκτελεί εντολές shell, να κλέβει cookies του Chrome, ιστορικό περιήγησης και αποθηκευμένους κωδικούς πρόσβασης, καθώς και να συλλέγει μεταδεδομένα του συστήματος.
Δείτε επίσης: Ανησυχητική άνοδος των ClickFix επιθέσεων μέσω Malvertising "DeceptionAds"
Η ομάδα hacking Lazarus, που χρησιμοποιεί τώρα την τεχνική ClickFix, είναι μια από τις πιο γνωστές και επικίνδυνες ομάδες κυβερνοεπιθέσεων στον κόσμο. Εικάζεται ότι η ομάδα αυτή συνδέεται με την κυβέρνηση της Βόρειας Κορέας, αν και η χώρα δεν έχει ποτέ παραδεχτεί τη συμμετοχή της. Η ομάδα Lazarus έχει αναλάβει πολλές επιθέσεις σε κυβερνητικά συστήματα, τραπεζικά ιδρύματα, μεγάλες εταιρείες και οργανισμούς παγκοσμίως, με στόχο την κλοπή χρημάτων, την απόκτηση πληροφοριών και την πρόκληση γενικής αποσταθεροποίησης. Η ομάδα χρησιμοποιεί διάφορες τεχνικές, όπως το phishing, το malware (κακόβουλο λογισμικό), και την εκμετάλλευση τρωτών σημείων συστημάτων για να πραγματοποιήσει τις επιθέσεις της. Επίσης, είναι γνωστό ότι χρησιμοποιεί εξαιρετικά εξελιγμένα εργαλεία για να καλύψει τα ίχνη της και να διατηρήσει την ανωνυμία της.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια