W 2018 roku badacze z firmy Kaspersky opublikowali wyniki badania dotyczącego AppleJeus – operacji kradzieży kryptowaluty przeprowadzonej przez niezwykle produktywne ugrupowanie cyberprzestępcze Lazarus. Według nowych ustaleń cybergang kontynuuje operację, ale działa z większą ostrożnością, stosując udoskonalone taktyki i procedury, jak również wykorzystując komunikator Telegram jako jeden z nowych wektorów ataków.
Wśród ofiar znajdują się osoby z Wielkiej Brytanii, Polski, Rosji oraz Chin, a kilka z nich ma powiązania z podmiotami z branży kryptowaluty.
Lazarus to jedno z najaktywniejszych i najproduktywniejszych cybergangów, które przeprowadziło wiele kampanii wymierzonych w organizacje związane z finansami oraz kryptowalutą. Podczas swojej operacji AppleJeus w 2018 r. ugrupowanie to uruchomiło fałszywą firmę kryptowalutową w celu rozprzestrzeniania zmodyfikowanej aplikacji oraz wykorzystania zaufania potencjalnych ofiar. W operacji tej Lazarus wykorzystał swoje pierwsze szkodliwe oprogramowanie dla systemu macOS. Aplikacja ta była pobierana przez użytkowników ze stron osób trzecich, natomiast szkodliwa funkcja była rozprzestrzeniana pod przykrywką regularnej aktualizacji aplikacji. Umożliwiała ona atakującym zdobycie pełnej kontroli nad urządzeniami użytkowników oraz kradzież kryptowaluty.
Badacze z firmy Kaspersky zidentyfikowali znaczące różnice w taktykach stosowanych przez ugrupowanie w kontynuacji tej operacji. Sposób przeprowadzania ataków w 2019 r. przypominał wprawdzie ten znany z poprzedniego roku, ale zawierał kilka udoskonaleń. Tym razem gang Lazarus przygotował fałszywe strony internetowe związane z kryptowalutą, które zawierały odsyłacze do fałszywych kanałów Telegrama i rozprzestrzeniały szkodliwe oprogramowanie za pośrednictwem tego komunikatora.
Podobnie jak w przypadku pierwotnej operacji AppleJeus, atak składał się z dwóch faz. Najpierw użytkownicy pobierali aplikację, a następnie powiązany z nią moduł pobierał ze zdalnego serwera kolejną szkodliwą funkcję, która zapewniała atakującym pełną kontrolę nad zainfekowanym urządzeniem przy pomocy trojana otwierającego „tylną furtkę” (tzw. backdoor). Jednak tym razem szkodliwa funkcja była dostarczana w sposób dyskretny w celu uniknięcia wykrycia przez rozwiązania stosujące detekcję w oparciu o zachowanie procesów w systemie. W atakach na cele działające w systemie macOS moduł pobierający szkodliwe funkcje został wzbogacony o mechanizm uwierzytelniania, zmieniono środowisko programistyczne i przyjęto bezplikową technikę infekcji. Podczas ataków na użytkowników systemu Windows zamiast wykorzystywania szkodliwego oprogramowania Fallchill (które było stosowane w pierwszej operacji AppleJeus) stworzono szkodnika, który działał wyłącznie w określonych systemach po sprawdzeniu ich pod kątem określonych parametrów. Zmiany te pokazują, że Lazarus przykłada coraz większą wagę do zapobiegania wykrycia swoich działań.
Lazarus dokonał również znaczących modyfikacji w szkodliwym oprogramowaniu dla systemu macOS i zwiększył liczbę jego wersji. W przeciwieństwie do wcześniejszego ataku, podczas którego cyberugrupowanie wykorzystało oparte na otwartym źródle oprogramowanie QtBitcoinTrader w celu stworzenia specjalnego instalatora macOS, podczas kolejnej fali ataku gang zaczął wykorzystywać własny kod. To oznacza, że cyberugrupowanie będzie z dużym prawdopodobieństwem nadal tworzyło modyfikacje szkodliwego oprogramowania dla macOS.
– Kontynuacja operacji AppleJeus pokazuje, że mimo stagnacji na rynkach kryptowaluty cybergang Lazarus nadal inwestuje w ataki związane z tym sektorem, które w efekcie stają się bardziej wyrafinowane. Dalsze zmiany i zróżnicowanie szkodliwego oprogramowania sugeruje, że ataki te odnotują prawdopodobnie wzrost ilościowy i staną się jeszcze poważniejszym zagrożeniem – komentuje Seongsu Park, badacz ds. cyberbezpieczeństwa z firmy Kaspersky.
Ugrupowanie Lazarus, znane z wyrafinowanych operacji oraz związków z Koreą Północną, wyróżnia się nie tylko atakami mającymi na celu cyberszpiegostwo i cybersabotaż, ale również działaniami motywowanymi finansowo. Wielu badaczy, w tym eksperci z firmy Kaspersky, już wcześniej informowało o atakach tego ugrupowania wymierzonych w banki oraz inne duże przedsiębiorstwa finansowe.