РБК Компании
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Продлили скидки до 13.12 в Черную пятницу РБК Компании
Забрать скидку
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Продлили скидки до 13.12 в Черную
пятницу РБК Компании
Забрать скидку

Эксперты Kaspersky GReAT обнаружили сложную кампанию группы Lazarus

Они выявили, что для прикрытия злоумышленники создали вредоносный сайт онлайн-игры в танки
Эксперты Kaspersky GReAT обнаружили сложную кампанию группы Lazarus
Источник изображения: Личный архив компании

Эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») обнаружили сложную кампанию группы Lazarus. Об этом они сообщили на Security Analyst Summit 2024 на Бали. Для атак на пользователей по всему миру злоумышленники создали вредоносный сайт для онлайн-игры в танки, в которой якобы можно получать награды в криптовалюте. С его помощью они эксплуатировали уязвимость нулевого дня в браузере Google Chrome, позволяющую заражать устройства и красть учетные данные криптокошельков. Сейчас эта уязвимость устранена, а сайт игры заблокирован.  

Что указывает на Lazarus. В мае 2024 года эксперты «Лаборатории Касперского» обнаружили атаку, в ходе которой использовался бэкдор Manuscrypt. Это инструмент, характерный для группы Lazarus с 2013 года. По данным Kaspersky GReAT, он применялся более чем в 50 уникальных кампаниях, нацеленных на организации из разных отраслей. В ходе дальнейшего анализа выяснилось, что этому предшествовала эксплуатация браузера Google Chrome, что и позволило выявить данную кампанию. Lazarus — одна из немногих кибергрупп, которая использует уязвимости нулевого дня. Этот метод не распространен среди атакующих, поскольку требует много ресурсов, в том числе времени и знаний.  

Что за игра. На сайте пользователям предлагали скачать пробную версию игры, в основе которой лежит модель Play-To-Earn («Играй, чтобы зарабатывать»). Суть игры заключалась в сражениях на виртуальных NFT-танках с соперниками по всему миру, в ней якобы можно было получать выигрыш в криптовалюте. Игру действительно можно было запустить, проверили эксперты «Лаборатории Касперского».

Чтобы привлечь жертв и вызвать у них доверие, атакующие тщательно продумали кампанию по ее продвижению, например создали аккаунты в международных соцсетях, где рекламировали ее на протяжении нескольких месяцев. При этом они использовали изображения, нарисованные с помощью нейросетей. Также злоумышленники пытались привлечь для рекламы своей игры инфлюенсеров из сферы криптовалют, предположительно затем предпринимались попытки атаковать и их аккаунты.

Эксперты Kaspersky GReAT нашли реальную игру, которая, по всей видимости, послужила прототипом для версии, созданной злоумышленниками. Практически полностью повторяется дизайн: отличия лишь в расположении логотипа и более низком качестве визуального оформления. За основу, вероятно, был взят украденный исходный код, атакующие лишь заменили логотипы и убрали все отсылки к реальной игре. Вскоре после того как злоумышленники запустили кампанию по продвижению вредоносной игры, разработчики прототипа заявили, что с их кошелька было украдено 20 тысяч долларов США в криптовалюте.

Для чего она нужна. Игра была лишь прикрытием для злоумышленников. Сайт содержал небольшой фрагмент кода, который позволял загрузить и выполнить эксплойт для браузера Google Chrome. Для этого использовались две уязвимости. Об одной из них ранее не было известно — это ошибка несоответствия используемых типов данных в движке V8 от Google на открытом исходном коде JavaScript и WebAssembly. Она позволяла получить контроль над устройством жертвы: выполнять произвольный код, обходить функции безопасности и осуществлять различную вредоносную активность. Чтобы заразить устройство, достаточно было зайти на сайт, даже не нужно было начать игру. «Лаборатория Касперского» сообщила об уязвимости Google, после чего компания ее устранила. Она получила идентификатор CVE-2024-4947. Еще одну уязвимость атакующие использовали для обхода защитного механизма Google Chrome, который называется песочница V8.

«Мы видели уже много кампаний, направленных на получение финансовой выгоды, однако этот случай уникален. Злоумышленники вышли за рамки обычных методов: они использовали в качестве прикрытия полнофункциональную игру, чтобы заражать устройства путем эксплуатации уязвимости нулевого дня в Google Chrome. Если речь идет об атаке такой кибергруппы, как Lazarus, даже такие, казалось бы, безобидные действия, как переход по ссылке в соцсети или в электронном письме, могут привести к полной компрометации компьютера или всей корпоративной сети. Злоумышленники приложили множество усилий для разработки этой кампании, что свидетельствует об амбициозности их планов. Потенциально атаки могут затронуть пользователей и организации по всему миру», — комментирует Борис Ларин, ведущий эксперт Kaspersky GReAT.

Подробнее о новой кампании Lazarus.

Интересное:

Новости отрасли:

Все новости:

Профиль

Дата регистрации26.06.1997
Уставной капитал100 000,00 ₽
Юридический адрес г. Москва, вн.тер.г. муниципальный округ Войковский, ш. Ленинградское, д. 39а, стр. 2
ОГРН 1027739867473
ИНН / КПП 7713140469 774301001

Контакты

Адрес 125212, Россия, г. Москва, Ленинградское шоссе, д. 39 А, стр. 3, БЦ «Олимпия Парк»

Социальные сети

ГлавноеЭкспертыДобавить
новость
КейсыМероприятия