BlueNoroff запустила новые атаки с применением GenAI на криптокомпании

Екатерина Быстрова 28 Октября 2025 - 13:39

Корпорации

macOS

Лаборатория Касперского

Трояны

Социальная инженерия

Целевые атаки

Таргетированные атаки

GenAI (генеративный искусственный интеллект)

...

BlueNoroff запустила новые атаки с применением GenAI на криптокомпании

Эксперты Kaspersky GReAT опубликовали данные о новых кампаниях киберпреступной группы BlueNoroff, входящей в состав Lazarus. Две операции — GhostCall и GhostHire — активно проводятся с апреля 2025 года и нацелены на криптовалютные и Web3-организации.

В ходе атак злоумышленники используют единые инструменты и инфраструктуру, заражая устройства на macOS и Windows.

По сути, это продолжение масштабной кампании SnatchCrypto, в рамках которой BlueNoroff охотится за активами компаний, работающих с криптовалютами, DeFi-проектами и блокчейном.

GhostCall: атака через «видеозвонок»

GhostCall ориентирована на macOS-устройства. Злоумышленники действуют через Telegram, представляясь венчурными инвесторами. Иногда они используют взломанные аккаунты реальных предпринимателей, чтобы выглядеть убедительно.

Жертву приглашают на фальшивую онлайн-встречу, оформленную под Zoom или Microsoft Teams, где «для решения проблем со звуком» предлагают установить обновление. Вместо него на устройство загружается вредоносный скрипт.

Эксперты отмечают, что преступники даже включают заранее записанные видео прежних жертв, чтобы встреча выглядела реалистично. Полученные данные затем используются не только против конкретного человека, но и против его компании или партнёров по цепочке поставок.

GhostHire: атака под видом вакансии

В кампании GhostHire злоумышленники выдают себя за рекрутеров и рассылают блокчейн-разработчикам фальшивые вакансии. Чтобы «пройти тестовое задание», кандидат должен скачать репозиторий с GitHub — внутри которого скрыта вредоносная программа.

Если жертва подключается к телеграм-боту из объявления, ей приходит ZIP-архив или ссылка, и после запуска файлов система заражается.

Обе кампании используют одну инфраструктуру и схожие инструменты. Главная цель — кража криптовалюты, конфиденциальных данных и учётных записей.

Искусственный интеллект на службе злоумышленников

По данным Kaspersky, BlueNoroff активно применяет генеративный ИИ для разработки вредоноса и автоматизации атак. Это позволяет группе быстрее создавать новые образцы, улучшать код и обходить системы защиты.

«Теперь атакующие не просто крадут криптовалюту — они используют ИИ, чтобы точнее выбирать жертв и действовать масштабнее», — объяснил старший эксперт Kaspersky GReAT Омар Амин.

По словам Соджуна Рю, одного из исследователей GReAT, BlueNoroff выводит свои кампании на новый уровень:

«Мы видим сочетание социальной инженерии, технической сложности и высокой степени персонализации. Такие атаки направлены не только на людей, но и на всю цепочку поставок внутри криптоиндустрии».

Эксперты предупреждают, что появление GhostCall и GhostHire демонстрирует переход BlueNoroff от точечных атак к более комплексным операциям с элементами социальной инженерии и использованием ИИ.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 31 Октября 2025 - 21:33

Корпорации Системы для анализа защищенности информационных систем Средства тестирования на проникновение Аудит информационной безопасности Positive Technologies

PT Dephaze научилась строить цепочки атак и тестировать десятки тысяч узлов

Компания Positive Technologies выпустила обновлённую версию PT Dephaze — системы, которая автоматически проводит безопасные тесты на проникновение во внутреннюю инфраструктуру. Новый релиз делает процесс автопентеста более наглядным и приближённым к реальным сценариям атак, а также помогает ИБ-специалистам расставлять приоритеты при устранении уязвимостей.

Главное отличие PT Dephaze от классических сканеров уязвимостей — в подходе.

Вместо длинного списка потенциальных проблем система показывает реальные цепочки атак, по которым злоумышленник может пройти от точки входа до ключевых систем. Такой формат помогает быстро понять, какие из найденных слабых мест действительно опасны и требуют немедленного реагирования.

Новая версия PT Dephaze умеет тестировать десятки тысяч узлов и охватывает всю корпоративную сеть. В список векторов атак добавлены Linux-системы, сетевые принтеры, решения для резервного копирования и инфраструктура Active Directory. Кроме того, продукт теперь связывает найденные логины и пароли с конкретными атаками, упрощая поиск и устранение уязвимостей.

Все действия PT Dephaze имитируют работу реального хакера, но проходят в полностью безопасном режиме. Команды ИБ могут управлять интенсивностью атак, исключать из проверки критически важные сервисы, а любые потенциально опасные действия выполняются только после ручного подтверждения.

«Клиенты часто просили сделать процесс тестирования максимально прозрачным, — рассказал Ярослав Бабин, директор по продуктам для симуляции атак в Positive Technologies. — Теперь можно увидеть весь путь атаки шаг за шагом — какие действия выполняются, какие уязвимости использованы и какие доказательства компрометации получены».

По итогам проверки PT Dephaze предоставляет конкретные доказательства проникновения — скомпрометированные IP-адреса, учётные записи и параметры конфигурации. Эти данные помогают ИТ-командам быстрее согласовать и реализовать исправления, превращая разговор о рисках в чёткий план действий.

В начале года PT Dephaze внесли в единый реестр российского ПО.