Новая угроза от Lazarus Group: Mach-O Man для macOS
Эксперты по кибербезопасности фиксируют усиление активности северокорейских хакерских группировок, в частности Lazarus Group, которые разработали и активно применяют новый модульный вредоносный арсенал под названием Mach-O Man. Это программное обеспечение, созданное другой группировкой Famous Chollima, нацелено на операционную систему macOS, широко используемую в крипто- и финтех-компаниях.
Мауро Элдрич, специалист по кибербезопасности, сообщил, что злоумышленники используют изощренный метод проникновения, замаскированный под обычные рабочие коммуникации. Основной вектор атаки — социальная инженерия с использованием метода ClickFix. Хакеры рассылают жертвам в Telegram «срочные» приглашения на онлайн-встречи в популярных сервисах, таких как Zoom, Microsoft Teams или Google Meet. Ссылка в сообщении ведет на фишинговый сайт, который предлагает пользователю скопировать и вставить простую команду в терминал Mac для «исправления проблемы с подключением».
Выполнение этой команды предоставляет злоумышленникам прямой доступ к корпоративным системам, облачным платформам (SaaS) и финансовым ресурсам компании. Как правило, факт взлома обнаруживается слишком поздно, когда предотвратить значительный ущерб уже невозможно.
Методы распространения и масштаб угрозы
Исследователь Владимир С. подтвердил наличие нескольких вариаций описанной Элдричем схемы атаки. В некоторых случаях хакеры Lazarus захватывали домены децентрализованных финансовых (DeFi) проектов, подменяя их сайты фальшивыми сообщениями от Cloudflare. Эти поддельные страницы также требовали от пользователей ввода команды в терминал для «предоставления доступа», что приводило к компрометации данных и активов.
Старшая исследовательница блокчейн-безопасности CertiK, Натали Ньюсон, подчеркнула беспрецедентный уровень активности Lazarus Group. Она отметила, что за короткий период времени были зафиксированы атаки с использованием различных инструментов, включая Kelp, Drift и теперь новый macOS-арсенал. Ньюсон назвала эти действия «государственной финансовой операцией, работающей в масштабе и темпе, характерном для институций», что указывает на организованный и целенаправленный характер кибератак.
Подобные инциденты подчеркивают растущую угрозу со стороны северокорейских хакеров для криптоиндустрии. Ранее в апреле стипендиат Ethereum Foundation выявил около 100 IT-агентов из КНДР, интегрированных в Web3-компании. Аналогичные выводы были сделаны и ончейн-детективами, обнаружившими сеть северокорейских специалистов в криптоиндустрии.
Что это значит для криптосообщества и майнеров из РФ/СНГ
Усиление кибератак со стороны Lazarus Group представляет серьезную угрозу для всех участников криптоиндустрии, включая проекты, компании и индивидуальных пользователей. Эти атаки нацелены на кражу активов и данных, что может привести к значительным финансовым потерям и подрыву доверия к децентрализованным платформам. Для компаний, работающих с криптовалютами, особенно важно усилить меры кибербезопасности, обучить персонал распознаванию фишинговых атак и регулярно проводить аудит систем.
«Что делает Lazarus особенно опасным прямо сейчас — это уровень их активности. Kelp, Drift и теперь новый macOS-арсенал — все в течение одного месяца. Это не случайные взломы, а государственная финансовая операция, работающая в масштабе и темпе, характерном для институций», — отметила старшая исследовательница блокчейн-безопасности CertiK Натали Ньюсон.
Для майнеров, особенно тех, кто использует оборудование на базе macOS или взаимодействует с криптопроектами через компьютеры Apple, крайне важно проявлять повышенную бдительность. Не следует вводить команды в терминал, полученные из непроверенных источников, даже если они выглядят как запросы от известных сервисов или компаний. Всегда проверяйте подлинность отправителя и URL-адреса, прежде чем предпринимать какие-либо действия. Использование надежных антивирусных решений и регулярное обновление операционной системы и программного обеспечения также помогут минимизировать риски.
Комментарии
0