Специалисты Trend Micro подготовили отчет о деятельности северокорейской хак-группы Lazarus. Исследователи предупреждают, что с середины сентября текущего года группировка заражает бэкдорами финансовые учреждения в странах Латинской Америки.
По словам экспертов, данные атаки перекликаются с деятельностью Lazarus в 2017 году, когда группа атаковала азиатские страны. Сейчас злоумышленники так же используют в атаках файл FileTokenBroker.dll и тот же модульный бэкдор, который уже был замечен аналитиками ранее.
Малварь группы состоит из трех компонентов, каждый из которых отвечает за выполнение различных целей: AuditCred.dll/ROptimizer.dll играет роль загрузчика, который запускается как служба, Msadoz.dll – это сама зашифрованная бэкдор-малварь, а Auditcred.dll.mui/rOptimizer.dll.mui представляет собой конфигурационный файл вредоноса.
Проникнув в систему, преступники с помощью своего бэкдора получают возможность выполнять самые разные вредоносные задачи. Они могут: собирать различные данные о системе и похищать файлы, загружать дополнительную малварь, запускать или останавливать процессы, внедрять вредоносный код в запущенные процессы, удалять файлы, задействовать обратный шелл, прокси и так далее.
Эксперты Trend Micro предупреждают, что эта вредоносная кампания Lazarus сложна и опасна, равно как и другие кампании группы. Исследователи подчеркивают, что обнаруженная ими малварь намерено борется как с обнаружением, так и с удалением из системы (например, лоадер и файл конфигурации расположены в %windows%\system32, тогда как сам бэкдор скрывается в другой директории, %Program Files%\Common Files\System\ado).
Хакерская группировка Lazarus (она же Hidden Cobra, APT38 и BlueNoroff) получила широкую известность после кибератаки на Sony Pictures Entertainment в 2014 году. После этого специалисты по информационной безопасности детально изучили и связали эту группу с Северной Кореей и целым рядом инцидентов. Так, в 2016 году хакеры едва не совершили «киберограбление века»: злоумышленники успешно похитили 81 млн долларов у Центробанка Бангладеш и только чудом не сумели украсть почти миллиард.
Кроме того, группу связывают с эпидемией Wannacry, атаками на банки в Польше и Мексике, фишинговыми атаками на подрядчиков Министерства обороны США, кампаниями против онлайновых казино в странах Латинской Америки. В текущем году Lazarus также атаковала криптовалютную биржу Bithumb и еще один неназванный криптообменник в Азии.
