Домой >> Новости >> Check Point: северокорейская хак-группа Lazarus атакует цели в России

Check Point: северокорейская хак-группа Lazarus атакует цели в России

Check Point: северокорейская хак-группа Lazarus атакует цели в России

Рекомендуем почитать:

Xakep #238. Забытый Android

  • Содержание выпуска
  • Подписка на «Хакер»

Аналитики компании Check Point предупреждали о вредоносной кампании Sharpshooter, которая тоже могла быть связана с Lazarus, а жертвами злоумышленников стали 87 компаний и организаций в разных странах, включая Россию.

Эксперты Check Point пишут, что за обнаруженными атаками, стоит подразделение Lazarus, известное ИБ-специалистам как Bluenoroff и занимающееся преимущественно финансовыми операциями. Какие именно компании и организациями стали целями злоумышленников неясно, исследователи опираются на вредоносные образцы, загруженные на VirusTotal с российских IP-адресов.

Чаще всего кампания, обнаруженная исследователями, начинается с таргетированных писем, содержащих вредоносные архивы ZIP, внутри которых находятся файлы Office и PDF, созданные специально для русскоязычной аудитории (например, в одном случае письмо якобы содержало NDA российской компании StarForce Technologies). Как не трудно догадаться, такие документы содержат вредоносные макросы, срабатывание которых приводит к загрузке и исполнению скрипта VBS, причем зачастую скачивание происходит с Dropbox. VBS, в свою очередь, загружает файл CAB с сервера злоумышленников, извлекает из него файл EXE и выполняет его.

Check Point: северокорейская хак-группа Lazarus атакует цели в России

Иногда злоумышленники пропускают второй этап данной схемы и не задействуют Dropbox, сразу переходя к загрузке малвари на машину жертвы.

Check Point: северокорейская хак-группа Lazarus атакует цели в России

Check Point: северокорейская хак-группа Lazarus атакует цели в России

Связать происходящее с Lazarus помог финальный пейлоад данной кампании — это обновленная версия известного инструмента северокорейских хакеров KEYMARBLE, и об опасности этого бэкдора US-CERT предупреждал еще летом прошлого года. Малварь проникает на машину под видом файла JPEG (на самом деле, это не картинка, а еще один CAB). Аналитики Check Point отмечают, что в итоге вредонос едва обнаруживается защитными решениями, судя по данным VirusTotal.

Check Point: северокорейская хак-группа Lazarus атакует цели в России

По информации специалистов US-CERT, KEYMARBLE представляет собой малварь удаленного доступа, использует кастомизированный XOR и применяется злоумышленниками для получения информации о зараженной системе, загрузки дополнительных файлов, исполнения различных команд, внесения изменений в реестр, захвата снимков экрана и извлечения данных.

Хакерская группировка Lazarus (она же Hidden Cobra, APT38 и BlueNoroff) получила широкую известность после кибератаки на Sony Pictures Entertainment в 2014 году. После этого специалисты по информационной безопасности детально изучили и связали эту группу с Северной Кореей и целым рядом инцидентов. Так, в 2016 году хакеры едва не совершили «киберограбление века»: злоумышленники успешно похитили 81 млн долларов у Центробанка Бангладеш и только чудом не сумели украсть почти миллиард.

Кроме того, группу связывают с эпидемией Wannacry, атаками на банки в Польше и Мексике, фишинговыми атаками на подрядчиков Министерства обороны США, кампаниями против онлайновых казино в странах Латинской Америки. Также в прошлом году Lazarus атаковала криптовалютную биржу Bithumb и еще один неназванный криптообменник в Азии.

Смотрите также

Курс биткоина внезапно рухнул ниже 4000 долларов

Stock Markets Group — РљСѓСЂСЃ биткоина Рє завершению торгового РґРЅСЏ неожиданно развернулся РІРЅРёР·, Рё РЅР° …

Добавить комментарий