Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Истражувачите ја снимаат шемата за работа од далечина на Lazarus APT во живо на камера

Објавено: 03.12.2025

Заедничка истрага предводена од Мауро Елдритч, основач на BCA LTD, спроведена заедно со иницијативата за закани NorthScan и ANY.RUN – решение за интерактивна анализа на малвер и закани – откри една од најупорните инфилтрациски шеми на Северна Кореја: мрежа од далечински ИТ-работници поврзани со Famous Chollima дивизијата на групата Lazarus.

Истражувачите првпат успеаја да ги набљудуваат операторите во живо, снимајќи ги нивните активности на она што тие го сметале за вистински лаптопи на девелопери. Сепак, машините биле целосно контролирани, долготрајни sandbox околини креирани од ANY.RUN.

Screenshot од порака од регрутер што нуди лажна работна позиција

Операцијата започна кога Хеинер Гарсија од NorthScan се претстави како американски девелопер кој бил цел на регрутер од Lazarus со алијасот „Аарон“ (познат и како „Блејз“).

Претставувајќи се како „бизнис“ за вработување, Блејз се обиде да го ангажира лажниот девелопер како параван; позната тактика на Chollima која се користи за да се вовлечат севернокорејски ИТ-работници во западни компании, главно во секторите за финансии, крипто, здравство и инженерство.

Шемата следеше препознатлив модел:

  • кражба или позајмување идентитет,
  • поминување интервјуа со помош на АИ-алатки и однапред подготвени одговори,
  • работа на далечина преку лаптопот на жртвата,
  • пренасочување на платата назад кон ДНРК.

Откако Блејз побара целосен пристап, вклучувајќи SSN, лична карта, LinkedIn, Gmail и 24/7 достапност на лаптопот, тимот премина во втората фаза.

Мамката: „Фарма од лаптопи“ која всушност не постоела

Мамката: „Фарма од лаптопи“ која всушност не постоела

Наместо да користи вистински лаптоп, Мауро Елдритч од BCA LTD ги постави виртуелните машини на ANY.RUN Sandbox, секоја конфигурирана да изгледа како целосно активна лична работна станица со историја на користење, девелоперски алатки и рутирање преку американски резиденцијален прокси.

Тимот исто така можеше присилно да предизвикува падови на системот, да ја ограничува конекцијата и да снима секој потег без операторите да забележат.

Што пронајдоа во алатникот на Famous Chollima

Сесиите во sandbox открија скромен, но ефикасен сет на алатки создадени за преземање идентитети и далечински пристап, наместо за распоредување малвер. Откако нивниот Chrome профил се синхронизираше, операторите вчитуваа:

  • Алатки за автоматизација на работа водени од АИ (Simplify Copilot, AiApply, Final Round AI) за автоматско пополнување апликации и генерирање одговори на интервјуа.
  • OTP генератори базирани во прелистувач (OTP.ee / Authenticator.cc) за управување со двофакторска автентикација откако ќе бидат собрани документите за идентитет.
  • Google Remote Desktop, конфигуриран преку PowerShell со фиксна PIN шифра, што овозможува постојан пристап до хостот.
  • Рутинска системска рекогносценција (dxdiag, systeminfo, whoami) за проверка на хардверот и околината.
  • Конекции постојано рутирани преку Astrill VPN — образец што е поврзан со претходна Lazarus инфраструктура.

Во една од сесиите, операторот дури оставил порака во Notepad барајќи од „девелоперот“ да ги постави својата лична карта, SSN и банкарски податоци, потврдувајќи ја целта на операцијата: целосно преземање на идентитетот и работната станица без да се распоредат какви било малвер компоненти.

Предупредување за компаниите и тимовите за вработување

Далечинското вработување стана тивок, но сигурен влез за закани базирани на идентитет. Напаѓачите често стигнуваат до вашата организација преку таргетирање на индивидуални вработени со привидно легитимни покани за интервјуа. Откако ќе се инфилтрираат, ризикот оди далеку подалеку од еден компромитиран работник. Напаѓач може да добие пристап до интерни контролни панели, чувствителни деловни податоци и сметки на менаџерско ниво кои имаат реално оперативно влијание.

Подигањето на свеста во компанијата и обезбедувањето безбедно место каде тимовите можат да проверат сомнителни ситуации може да биде разликата меѓу рано спречување на напад и справување со целосна интерна компромитација подоцна.

Извори:

  • The Hacker News – Researchers Capture Lazarus APT’s Remote-Worker Scheme Live on Camera The Hacker News