BlueNoroff використовує ClickFix, безфайлові PowerShell та згенеровані штучним інтелектом підроблені Zoom-зустычи для цілеспрямування у секторі Web3

Підсумок

BlueNoroff, фінансово мотивована підгрупа пов’язаної з КНДР Lazarus Group, здійснила цілеспрямоване вторгнення на північноамериканську компанію, що займається Web3 і криптовалютами. Зловмисники поєднували методи ClickFix, безфайлове виконання PowerShell і згенеровані AI фальшиві запрошення на Zoom-зустрічі для отримання початкового доступу та розширення своєї присутності в середовищі. Операція демонструє зріле поєднання соціальної інженерії та тактик на основі наявних ресурсів, спрямованих на підтримку крадіжки криптовалют.

Розслідування

Аналітики Arctic Wolf виявили вторгнення після ідентифікації незвичайної активності PowerShell і зловмисних посилань на Zoom-зустрічі, підсилених згенерованим AI контентом. Додаткові докази вказували на методи доставки ClickFix і безфайлове виконання, що свідчить про явну спробу уникнути звичайних антивірусних захистів. Атрибуція до BlueNoroff була заснована на спостережуваних інструментальних засобах, операційній поведінці й зразках ремесла, давно пов’язаних з діяльністю Lazarus Group.

Захист

Організації повинні вимагати багатофакторну аутентифікацію для Zoom та інших платформ для конференцій, обмежити непотрібне віддалене керування PowerShell і уважно стежити за підозрілими двійковими файлами, пов’язаними з ClickFix. Контроль безпеки електронної пошти також слід посилити, щоб виявляти згенеровані AI фішингові приманки, тоді як користувачів слід навчати перевіряти несподівані запрошення на зустрічі, перш ніж взаємодіяти з ними.

Відповідь

Якщо цю активність виявлено, негайно ізолюйте уражені кінцеві точки, захопіть нестабільну пам’ять і проведіть судову експертизу журналів PowerShell і будь-яких артефактів, пов’язаних з ClickFix. Скомпрометовані облікові дані слід анулювати, змінити конфіденційні секрети та активувати процедури реагування на інциденти для потенційної крадіжки криптовалют. Також слід поділитися відповідними індикаторами з галузевими ISAC, а виявлення повинні бути оновлені з урахуванням останніх даних.