Группа Lazarus лидирует по упоминаниям о взломах в мире на фоне роста целевых фишинговых атак

Согласно отчету южнокорейской компании по безопасности AhnLab, связанные с государством хакерские организации, такие как поддерживаемая Северной Кореей группа Lazarus, активно использовали целевой фишинг для кражи средств и сбора разведданных за последние 12 месяцев. Группа часто выдавала себя за организаторов конференций, контактов по работе или коллег, чтобы обманом заставить людей открывать файлы или выполнять команды.

Lazarus Group: Целевой фишинг становится более реалистичным с приманками на базе ИИ

Отчеты показали, что одно подразделение, известное как Kimsuky, использовало искусственный интеллект для подделки изображений военных удостоверений и размещения их внутри ZIP-файла, чтобы сообщения выглядели легитимными.

Исследователи безопасности утверждают, что поддельные удостоверения были достаточно убедительными, чтобы получатели открывали вложения, которые затем запускали скрытый код. Инцидент был отслежен до середины июля 2025 года и, по-видимому, знаменует собой повышение уровня создания приманок злоумышленниками.

Цель проста. Заставить пользователя доверять сообщению, открыть файл, и злоумышленник получает доступ. Этот доступ может привести к краже учетных данных, внедрению вредоносного ПО или опустошению криптовалютных кошельков. Группы, связанные с Пхеньяном, были причастны к атакам на финансовые и оборонные цели, среди прочих.

Жертв Lazarus Group просили выполнить команды

Некоторые кампании не полагались только на скрытые эксплойты. В нескольких случаях цели были обмануты и сами вводили команды PowerShell, иногда полагая, что следуют официальным инструкциям.

Этот шаг позволяет злоумышленникам запускать скрипты с высокими привилегиями без необходимости использования уязвимостей нулевого дня. Источники по безопасности предупреждают, что этот социальный трюк распространяется и его может быть трудно обнаружить.

Lazarus Group: Старые типы файлов, новые трюки

Злоумышленники также злоупотребляли файлами ярлыков Windows и подобными форматами, чтобы скрыть команды, которые выполняются бесшумно при открытии файла. Исследователи задокументировали почти 1 000 вредоносных образцов .lnk, связанных с более широкими кампаниями, показывая, что знакомые типы файлов остаются любимым методом доставки. Эти ярлыки могут выполнять скрытые аргументы и загружать дополнительные полезные нагрузки.

Почему это важно сейчас

Это делает атаки труднее остановить: индивидуальные сообщения, визуальные элементы, созданные с помощью ИИ, и трюки, которые просят пользователей запускать код. Многофакторная аутентификация и обновления программного обеспечения помогают, но обучение людей относиться к необычным запросам с подозрением остается ключевым. Команды безопасности рекомендуют базовые меры защиты: обновлять, проверять и, в случае сомнений, связываться с известным контактом.

Согласно отчетам, Lazarus Group и Kimsuky продолжают активную деятельность. Lazarus, по данным AhnLab, получила наибольшее количество упоминаний в анализах киберпреступлений за последние 12 месяцев. Группа была выделена за финансово мотивированные взломы, в то время как Kimsuky, похоже, больше сосредоточена на сборе разведданных и целенаправленном обмане.

Изображение предоставлено Anadolu, график от TradingView