Хакерская группировка Lazarus (она же Hidden Cobra и BlueNoroff) получила широкую известность после кибератаки на Sony Pictures Entertainment в 2014 году. После этого специалисты по информационной безопасности детально изучили и связали эту группу с Северной Кореей и целым рядом инцидентов. Так, в 2016 году хакеры едва не совершили «киберограбление века»: злоумышленники успешно похитили 81 млн долларов у Центробанка Бангладеш и только чудом не сумели украсть почти миллиард. Кроме того, группу связывают с эпидемией Wannacry, атаками на банки в Польше и Мексике, фишинговыми атаками на подрядчиков Министерства обороны США, недавними кампаниями против онлайновых казино в странах Латинской Америки.
Ранее в этом месяце аналитики компании AlienVault рассказали о том, что Lazarus активно эксплуатирует свежую уязвимость в ActiveX и атакует цели в Южной Корее. Теперь, спустя две недели после выхода того отчета, исследователи предупредили, что хакеры используют вредоносные документы HWP для таргетированных атак на участников недавней «финансовой» встречи «Большой двадцатки» (G20), в которой принимали участие министры финансов и глав Центробанков.
Такие документы используют текстовый процессор Hangul Word Processor, который очень широко распространен на Востоке и является местной альтернативой Microsoft Office. Посредством файлов HWP распространяется малварь Manuscrypt, которая маскирует свои коммуникации под популярное в Корее форумное ПО.
В AlienVault отмечают, что согласно сообщениям, поступающим от специалистов из Южной Кореи, злоумышленники, ограбившие недавно криптовалютную биржу Bithumb так же использовали для атак вредоносные документы HWP, начав свою кампанию в мае-июне 2018 года. Было обнаружено и еще одно сходство с предыдущими атаками Lazarus, — в качестве приманок хакеры использовали поддельные резюме. Похожую тактику группа уже демонстрировала ранее, рассылая вредоносные резюме криптовалютных компаниям и распространяя все ту же малварь Manuscrypt.
«Хотя мы не можем быть до конца уверены, что данная малварь была задействована для ограбления Bithumb, это весьма вероятно, — пишут аналитики AlienVault. — Очевидно, что в ближайшее время Lazarus не собираются прекращать воровать, учитывая потенциальную выгоду от такой деятельности: почти похищенные 1 млрд долларов у Центробанка Бангладеш – это почти 3% ВВП Северной Кореи. Хищения у южнокорейских организаций имеют двойной эффект и позволяют ослабить ближайшего конкурента».
Напомню, что одну из крупнейших криптовалютных бирж, Bithumb, взломали на прошлой неделе. Неизвестные злоумышленники похитили 35 000 000 000 вон, то есть около 31 000 000 долларов в криптовалюте. Согласно информации, размещенной на официальном сайте Bithumb, инцидент произошел в ночь с 19 на 20 июня 2018 года.
