Аналитики компании Check Point рассказали, что северокорейская хак-группа Lazarus (она же HIDDEN COBRA, Guardians of Peace, ZINC, NICKEL ACADEMY и APT38) начала атаковать российские компании. Исследователи утверждают, что это беспрецедентный и первый зафиксированный случай и подчеркивают, что чаще всего Lazarus атакуют цели в Южной Корее и Японии. Стоит отметить, что по данным аналитиков FireEye, «на счету» Lazarus атаки как минимум на 11 разных стран мира. Также напомню, что в декабре 2018 года специалисты McAfee предупреждали о вредоносной кампании Sharpshooter, которая тоже могла быть связана с Lazarus, а жертвами злоумышленников стали 87 компаний и организаций в разных странах, включая Россию.

Эксперты Check Point пишут, что за обнаруженными атаками, стоит подразделение Lazarus, известное ИБ-специалистам как Bluenoroff и занимающееся преимущественно финансовыми операциями. Какие именно компании и организациями стали целями злоумышленников неясно, исследователи опираются на вредоносные образцы, загруженные на VirusTotal с российских IP-адресов.

Чаще всего кампания, обнаруженная исследователями, начинается с таргетированных писем, содержащих вредоносные архивы ZIP, внутри которых находятся файлы Office и PDF, созданные специально для русскоязычной аудитории (например, в одном случае письмо якобы содержало NDA российской компании StarForce Technologies). Как не трудно догадаться, такие документы содержат вредоносные макросы, срабатывание которых приводит к загрузке и исполнению скрипта VBS, причем зачастую скачивание происходит с Dropbox. VBS, в свою очередь, загружает файл CAB с сервера злоумышленников, извлекает из него файл EXE и выполняет его.

Иногда злоумышленники пропускают второй этап данной схемы и не задействуют Dropbox, сразу переходя к загрузке малвари на машину жертвы.

Связать происходящее с Lazarus помог финальный пейлоад данной кампании — это обновленная версия известного инструмента северокорейских хакеров KEYMARBLE, и об опасности этого бэкдора US-CERT предупреждал еще летом прошлого года. Малварь проникает на машину под видом файла JPEG (на самом деле, это не картинка, а еще один CAB). Аналитики Check Point отмечают, что в итоге вредонос едва обнаруживается защитными решениями, судя по данным VirusTotal.

По информации специалистов US-CERT, KEYMARBLE представляет собой малварь удаленного доступа, использует кастомизированный XOR и применяется злоумышленниками для получения информации о зараженной системе, загрузки дополнительных файлов, исполнения различных команд, внесения изменений в реестр, захвата снимков экрана и извлечения данных.

Хакерская группировка Lazarus (она же Hidden Cobra, APT38 и BlueNoroff) получила широкую известность после кибератаки на Sony Pictures Entertainment в 2014 году. После этого специалисты по информационной безопасности детально изучили и связали эту группу с Северной Кореей и целым рядом инцидентов. Так, в 2016 году хакеры едва не совершили «киберограбление века»: злоумышленники успешно похитили 81 млн долларов у Центробанка Бангладеш и только чудом не сумели украсть почти миллиард.

Кроме того, группу связывают с эпидемией Wannacry, атаками на банки в Польше и Мексике, фишинговыми атаками на подрядчиков Министерства обороны США, кампаниями против онлайновых казино в странах Латинской Америки. Также в прошлом году Lazarus атаковала криптовалютную биржу Bithumb и еще один неназванный криптообменник в Азии.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии