Киберпреступная группировка APT38, предположительно связанная с правительством Северной Кореи, причастна к серии масштабных «агрессивных» кибератак на банки и другие организации по всему миру, в ходе которых злоумышленники пытались вывести более чем $1,1 млрд, утверждается в докладе компании FireEye.

В последние четыре года с момента взлома компании Sony Pictures Entertainment в 2014 году в СМИ неоднократно появлялись сообщения об активности киберпреступной группировки, известной как Lazarus Group. Согласно отчету, под названием Lazarus Group действуют три подразделения — два специализируются на политическим кибершпионаже (TEMP.Hermit и Lazarus Group), а третий сконцентрирован исключительно на хищениях средств у банков и других финансовых организаций (APT38).

APT38 провела операции против 16 организаций в по меньшей мере 11 странах, иногда атаки происходили одновременно. По мнению экспертов, число пострадавших может быть намного больше. Согласно оценкам компании, с 2014 года группировке удалось похитить более сотни миллионов долларов.

Злоумышленники действуют по одному сценарию: на первом этапе осуществляется сбор необходимой информации (данные о сотрудниках организации, сторонних поставщиках, специфике работы системы SWIFT). Далее злоумышленники проводят атаки типа watering hole (заражение вредоносным ПО сайтов, часто посещаемых жертвой) или эксплуатируют уязвимости в устаревших версиях фреймворка Apache Struts 2. На последующих этапах киберпреступники проводят внутреннюю разведку, собирают учетные данные и сканируют системы, изучают работу системы SWIFT, выводят деньги и удаляют логи, а также внедренное вредоносное ПО для сокрытия своей деятельности.

Ранее американские власти опубликовали отчет о новой схеме хищения денег из банкоматов, применяемой киберпреступной группировкой Hidden Cobra (также известной как Lazarus и Guardians of Peace) еще с 2016 года.

Источник: securitylab.ru