TM_607

8 29|10|2024 #607 Η Lazarus APT έκλεψε κρυπτονομίσματα μέσω zero-day ευπάθειας Η Παγκόσμια Ομ άδα Έρευνας κ αι Ανάλυ- σης (GReAT) της Kaspersky α ποκάλυψε μια σύνθετη κακ όβουλη εκστρ ατεία από την ομάδα Lazarus Advanced Persistent Threat, η οποία στοχοποίησε επενδυτές κρυπτονομισμάτων σε παγκόσμιο επίπε- δο. Οι επιτιθέμενοι δημιούργησαν έναν ψεύτικο ιστότοπο κρυπτοπαιχνιδιών, αξιοποιώντας μια ευπάθεια zero-day στο Google Chrome για να εγκαταστήσουν κατασκοπευτικό λογισμικό και να υπο- κλέψουν δεδομένα πορτοφολιών. Τον Μάιο του 2024, οι ειδικοί της Kaspersky, αναλύοντας περιστατικά από την τηλεμετρία του Kaspersky Security Network, εντόπισαν μια επίθεση που αξιοποιούσε το κακόβουλο λογισμικό Manuscrypt. Το Manuscrypt, το οποίο χρησιμοποιείται από την ομάδα Lazarus από το 2013, έχει εντοπιστεί από την ομάδα GReAT της Kaspersky σε πάνω από 50 διαφορετικές εκστρατείες που στοχεύουν ποικίλους κλάδους. Μετά από περαιτέρω ανάλυση, αποκαλύφθη- κε μια σύνθετη κακόβουλη εκστρατεία που βασιζόταν σε μεγάλο βαθμό σε τε- χνικές κοινωνικής μηχανικής και στην παραγωγική τεχνητή νοημοσύνη, με στόχο επενδυτές κρυπτονομισμάτων. Η ομάδα Lazarus φημίζεται για τις εξαιρε- τικά προηγμένες επιθέσεις της σε πλατ- φόρμες κρυπτονομισμάτων και έχει ιστο- ρικό εκμετάλλευσης ευπαθειών zero-day. Η νέα αυτή εκστρατεία ακολούθησε το ίδιο μοτίβο: Οι ερευνητές της Kaspersky ανακάλυψαν ότι οι δράστες εκμεταλλεύ- τηκαν δύο ευπάθειες, συμπεριλαμβανο- μένου ενός άγνωστου έως τώρα σφάλ- ματος σύγχυσης τύπων (type confusion) στο V8 και τις μηχανές ανοιχτού κώδικα JavaScript και WebAssembly της Google. Η ευπάθεια αυτή διορθώθηκε ως CVE- 2024-4947, μετά την αναφορά της Kaspersky στην Google. Επέτρεψε όμως στους επιτιθέμενους να εκτελέσουν αυ- θαίρετο κώδικα, να παρακάμψουν δυ- νατότητες ασφαλείας και να διεξάγουν διάφορες κακόβουλες δραστηριότητες. Μια διαφορετική ευπάθεια χρησιμοποιή- θηκε για την παράκαμψη της προστασίας sandbox του V8 στο Google Chrome. Οι επιτιθέμενοι αξιοποίησαν την ευπά- θεια αυτή μέσω ενός άρτια κατασκευ- ασμένου ψεύτικου ιστότοπου παιχνι- διού, που προσκαλούσε τους χρήστες να συμμετάσχουν σε διαγωνισμούς με NFT tanks σε παγκόσμιο επίπεδο. Επι- κεντρώθηκαν στην οικοδόμηση εμπι- στοσύνης για να μεγιστοποιήσουν την αποτελεσματικότητα της εκστρατείας, δημιουργώντας λεπτομερή στοιχεία που έκαναν τις προωθητικές ενέργειες να φαίνονται όσο το δυνατόν πιο αληθο- φανείς. Αυτό περιλάμβανε τη δημιουρ- γία λογαριασμών στα κοινωνικά δίκτυα X και LinkedIn για την προώθηση του παιχνιδιού, με διάρκεια αρκετών μηνών. Χρησιμοποίησαν εικόνες που δημιουρ- γήθηκαν μέσω τεχνητής νοημοσύνης για να ενισχύσουν την αξιοπιστία του ιστό- τοπου. Η ομάδα Lazarus έχει ενσωματώ- σει με επιτυχία την τεχνητή νοημοσύνη στις επιχειρήσεις της, και οι ειδικοί της Kaspersky προβλέπουν ακόμα πιο σύν- θετες επιθέσεις από την ομάδα που θα αξιοποιούν τέτοιες τεχνολογίες. Οι επιτιθέμενοι προσπάθησαν επίσης να επιστρατεύσουν crypto influencers για να ενισχύσουν την προώθηση της εκστρατείας, εκμεταλλευόμενοι την πα- ρουσία τους στα social media, όχι μόνο για να διαδώσουν την απειλή, αλλά και για να στοχοποιήσουν απευθείας τους λογαριασμούς κρυπτονομισμάτων τους.