Tədqiqatçılar Lazarus APT-nin uzaqdan işləmə sxemini kameralarla canlı yaxaladı

BCA LTD-nin təsisçisi Mauro Eldritch-in rəhbərliyi ilə, kəşfiyyat təşəbbüsü NorthScan və interaktiv zərərli proqram təhlili həlləri təqdim edən ANY.RUN ilə birgə aparılan araşdırma Şimali Koreyanın ən davamlı infiltrasiya sxemlərindən birini, Lazarus Qrupunun "Famous Chollima" bölməsi ilə əlaqəli uzaqdan işləyən İT işçiləri şəbəkəsini ortaya çıxarıb.

Araşdırmaçılar ilk dəfə olaraq operatorların fəaliyyətlərini canlı izləyə biliblər. Bu zaman onların real proqramçı noutbukları zənn etdikləri cihazlardakı əməliyyatları qeydə alınıb. Lakin bu maşınlar ANY.RUN tərəfindən yaradılmış tam nəzarətli, uzunmüddətli "sandbox" mühitləri idi.

"İşə Qəbul Olun, Sonra Onları İçəri Buraxın": Şimali Koreyanın Planı

Əməliyyat, NorthScan-dən Heiner Qarsiyanın ABŞ-lı bir proqramçı kimi davranması ilə başladı. Bu proqramçı "Aaron" (həmçinin "Blaze" kimi tanınan) ləqəbli Lazarus Qrupuna bağlı işəgötürən tərəfindən hədəf alınmışdı. "Blaze" özünü işə düzəltmə "şirkəti" kimi təqdim edərək, saxta proqramçını "frontman" kimi işə götürməyə çalışırdı. Bu, "Chollima" bölməsinin Şimali Koreyalı İT işçilərini Qərb şirkətlərinə, xüsusilə də maliyyə, kriptovalyuta, səhiyyə və mühəndislik sektorlarına yerləşdirmək üçün istifadə etdiyi tanınmış bir taktikadır.

Sxem tanış bir ardıcıllığı izləyirdi:

• şəxsiyyət oğurluğu və ya başqasından istifadə,
• süni intellekt vasitələri və paylaşılmış cavablarla müsahibələrdən keçmək,
• qurbanın noutbuku vasitəsilə uzaqdan işləmək,
• əmək haqqını Şimali Koreyaya göndərmək.

"Blaze" tam giriş icazəsi, o cümlədən sosial təhlükəsizlik nömrəsi (SSN), şəxsiyyət vəsiqəsi, LinkedIn, Gmail və noutbukun 24/7 əlçatanlığı tələb etdikdən sonra, komanda ikinci mərhələyə keçdi.

Tələ: Reallıqdan Uzaq "Noutbuk Təsərrüfatı"

Həqiqi noutbuk əvəzinə, BCA LTD-dən Mauro Eldritch, ANY.RUN Sandbox-ın virtual maşınlarını işə saldı. Hər biri istifadə tarixi, proqramçı alətləri və ABŞ-ın yaşayış yeri proksi marşrutlaşdırması ilə tam aktiv şəxsi iş stansiyasına bənzədilmişdi. Komanda operatorları xəbərdar etmədən məcburən sistem çökdürmə, bağlantı sürətini məhdudlaşdırma və hər hərəkəti qeydə alma imkanına malik idi.

"Famous Chollima"nın Vasitələr Qutusunda Nələr Tapıldı?

Sandbox sessiyaları zərərli proqramların yerləşdirilməsindən daha çox, şəxsiyyət oğurluğu və uzaqdan giriş üçün hazırlanmış sadə, lakin effektiv bir alətlər dəstini ortaya çıxardı. Chrome profilləri sinxronizasiya olunduqdan sonra operatorlar aşağıdakıları yüklədilər:

• İş müraciətlərini avtomatik doldurmaq və müsahibə cavabları yaratmaq üçün süni intellektlə idarə olunan iş avtomatlaşdırma vasitələri (Simplify Copilot, AiApply, Final Round AI).
• Şəxsiyyət sənədləri toplandıqdan sonra qurbanların iki faktorlu autentifikasiyasını idarə etmək üçün brauzer əsaslı OTP generatorları (OTP.ee / Authenticator.cc).
• PowerShell vasitəsilə sabit PIN kodu ilə konfiqurasiya edilmiş, hədəf sistemə daimi nəzarəti təmin edən Google Remote Desktop.
• Avadanlığı və mühiti təsdiqləmək üçün rutin sistem kəşfiyyatı (dxdiag, systeminfo, whoami).
• Bağlantılar ardıcıl olaraq Astrill VPN vasitəsilə yönləndirilirdi ki, bu da əvvəlki Lazarus Qrupu infrastrukturuna bağlı bir nümunə idi.

Hətta bir sessiyada operator "proqramçıdan" şəxsiyyət vəsiqəsini, sosial təhlükəsizlik nömrəsini (SSN) və bank məlumatlarını yükləməsini xahiş edən bir Notepad mesajı qoymuşdu. Bu, əməliyyatın əsas məqsədini – heç bir zərərli proqram tətbiq etmədən tam şəxsiyyət oğurluğu və iş stansiyasına nəzarəti – təsdiqləyirdi.

Şirkətlər və İşəgötürmə Qrupları üçün Xəbərdarlıq

Uzaqdan işə qəbul, fərdi məlumatlara əsaslanan təhdidlər üçün sakit, lakin etibarlı bir giriş nöqtəsinə çevrilib. Hücumçular tez-tez fərdi işçiləri qanuni görünən müsahibə sorğuları ilə hədəf alaraq təşkilatlara daxil olurlar. Daxil olduqdan sonra risk tək bir kompromisə uğramış işçidən daha uzağa gedir. Bir infiltrator daxili idarəetmə panellərinə, həssas biznes məlumatlarına və əməliyyat təsirinə malik menecer səviyyəli hesablarına giriş əldə edə bilər.

Şirkət daxilində məlumatlılığın artırılması və komandalara şübhəli hər hansı bir şeyi yoxlamaq üçün təhlükəsiz bir yer təmin edilməsi, bir hücumun erkən mərhələdə dayandırılması ilə tam miqyaslı daxili kompromislə üzləşmək arasındakı fərq ola bilər.

24 saat