Lazarukseen liittyvä kryptohakkerointi pyyhkii pois entisen Animoca-johtajan säästöt

Pohjois-Korean valtion tukema kyberrikollisryhmä Lazarus on yhdistetty tietojenkalasteluhyökkäykseen, joka johti suuren osan entisen Animoca Brandsin johtajan krypto-omistuksista varkauteen.

Mehdi Farooq, joka on nyt Hypersphere Venturesin sijoituskumppani, paljasti, että kuusi hänen kryptovaluuttalompakot tyhjennettiin sen jälkeen, kun hän tietämättään asensi väärennetyn Zoom-päivityksen.

Monimutkainen huijaus hyödynsi sosiaalista luottamusta, ammatillisia verkostoja ja videoneuvotteluohjelmistoja suorittaakseen yhden kehittyneimmistä lompakkoa tyhjentävistä hyökkäyksistä, joita on raportoitu tänä vuonna.

Hakkerit esiintyivät yhteyshenkilöinä Telegramin ja Zoomin kautta

Tietojenkalastelujärjestelmä alkoi Telegram-viestistä, jonka Farooqille lähetti henkilö, joka näytti olevan Alex Lin, tunnettu tuttava. Pienen edestakaisen keskustelun jälkeen Farooq suostui puheluun ja jakoi Calendly-linkkinsä tapaamisen sopimiseksi.

Kokouspäivänä sama tili lähetti jälleen viestin ja vetosi vaatimustenmukaisuussyihin keskustelun siirtämiseksi Zoom Businessiin. Farooqille kerrottiin, että toinen tunnettu alan yhteyshenkilö, Kent, liittyisi puheluun.

Zoom-kokous vaikutti lailliselta. Osallistujien kamerat olivat päällä, mutta ääntä ei kuulunut. Sen sijaan kokouschattiin ilmestyi viesti, jossa selitettiin teknisiä ongelmia ja pyydettiin Farooqia päivittämään Zoom-asiakasohjelmansa.

Hän suostui, ja muutamassa minuutissa tiedoston asentamisesta kaikki kuusi hänen kryptolompakot vaarantuivat ja tyhjenivät.

Hyökkääjät käyttivät Zoom-päivitykseksi naamioituja haittaohjelmia päästäkseen käsiksi Farooqin järjestelmään.

Käytetyt viestintä- ja manipulointitekniikat ovat linjassa aiempien tapausten kanssa, jotka liittyvät Lazarus Groupiin, tunnettuun pohjoiskorealaiseen hakkerointiyksikköön, jota syytetään useista arvokkaista kryptovarkauksista viime vuosina.

Lazarus linkittyy käyttäytymismallien ja haittaohjelmatyypin kautta

Tietojenkalasteluhyökkäyksessä oli useita Lazaruksen operaatioiden tunnusmerkkejä. Näitä ovat tunnettujen alan kontaktien esiintyminen, haittaohjelmia sisältävien asennusohjelmien käyttö ja videoneuvottelualustojen manipulointi.

Tässä tapauksessa hyökkääjät järjestivät vakuuttavan videopuhelun ja poistivat äänen käytöstä, taktiikka, joka saattoi häiritä Farooqia kyseenalaistamasta tilanteen laillisuutta.

Farooqin kokemus tulee vain viikkoja sen jälkeen, kun samanlainen tietojenkalasteluyritys kohdistui Kenny Liin, Manta Networkin perustajaan. Siinä tapauksessa hyökkääjät käyttivät identtisiä tekniikoita – väärennettyjä Zoom-puheluita, tekeytyneitä yhteystietoja ja haittaohjelmien latauskehotteita.

Li vältti uhriksi joutumisen ehdottamalla vaihtamista toiselle viestintäalustalle, jolloin hyökkääjät katosivat.

Tietoturvatutkijat uskovat, että nämä koordinoidut hyökkäykset osoittavat, että Lazarus on hionut menetelmiään ja lisännyt keskittymistään ammattilaisten välisen luottamuksen hyödyntämiseen.

Molemmissa tapauksissa käytetty haittaohjelma muistuttaa läheisesti koodia, jota käytetään muissa Lazaruksen attribuutioissa hyökkäyksissä, erityisesti analyytikoiden mainitsemassa "dangrouspassword" -hyväksikäyttössä.

Useat perustajat raportoivat samanlaisista taktiikoista viime viikkoina

Farooqiin kohdistunut hyökkäys on osa kasvavaa kehittyneiden tietojenkalastelukampanjoiden trendiä, joka kohdistuu kryptovaluuttojen johtajiin ja kehittäjiin.

Mon Protocolin, Stablyn ja Devdock AI:n perustajat ja tiimin jäsenet ovat myös ilmoittaneet saaneensa epäilyttäviä viestejä, jotka yrittivät houkutella heidät vaarantuneisiin Zoom-ympäristöihin.

Maaliskuun 11. päivänä Security Alliancen Nick Bax jakoi erittelyn Lazarukseen liittyvästä tietojenkalastelustrategiasta X-viestissä ja kertoi, kuinka hyökkääjät käyttävät aitoja sosiaalisia yhteyksiä yhdistettynä videoneuvotteluihin etäkäyttötyökalujen asentamiseen ja kryptovarojen varastamiseen.

Farooq kertoi, että vaikka menetys oli huomattava, useat valkohattuhakkerit ja kryptoturvallisuusyhteisön jäsenet tulivat auttamaan häntä jäljittämään, mitä tapahtui.

Vaikka varastettuja varoja ei ole vielä saatu takaisin, tapaus on korostanut henkilöllisyyden tarkistamisen tärkeyttä useilla alustoilla ja videopuheluiden aikana kehotettujen ulkoisten ohjelmistojen asennusten välttämistä.