Специалисты «Лаборатории Касперского» сообщают, что северокорейская хакерская группа Lazarus (она же HIDDEN COBRA, Guardians of Peace, ZINC, NICKEL ACADEMY и APT38) начала использовать новое вымогательское ПО, получившее имя VHD.
С точки зрения функциональности VHD представляет вполне стандартный шифровальщик-вымогатель. Он перебирает все подключенные к компьютеру жертвы диски, шифрует файлы, удаляет все встреченные папки System Volume Information (чем пытается саботировать механизм восстановления данных из точек восстановления Windows). Кроме того, вредонос умеет останавливать процессы, которые потенциально могут защищать важные файлы от модификации (такие как Microsoft Exchange или SQL Server).
Эксперты исследовали два инцидента, связанных с VHD, изучили схему действий злоумышленников и отмечают, что механизмы доставки малвари на машину жертвы скорее характерны для сложных целевых атак.
Так, в первом инциденте внимание специалистов привлек вредоносный код, который отвечал за распространение VHD внутри сети жертвы. У малвари был доступ к спискам IP-адресов компьютеров пострадавших, а также набор учетных данных от записей с правами администратора. Эти данные использовались для брутфорс-атак на сервис SMB. Если вредоносу удавалось успешно подключиться через протокол SMB к сетевой папке другого компьютера, он копировал себя и исполнялся, шифруя информацию и там.
По мнению специалистов, такая схема действий не слишком характерна для обычных шифровальщиков. Она подразумевает как минимум предварительную разведку инфраструктуры жертвы, а это характерно скорее для APT-кампаний.
Во время изучения второго инцидента эксперты смогли восстановить всю цепочку заражения, которая выглядела примерно так:
- злоумышленники получили доступ к системе жертвы, проэксплуатировав уязвимый VPN-шлюз;
- получили права администратора на скомпрометированной машине;
- установили бэкдор;
- захватили контроль над сервером Active Directory;
- заразили все компьютеры сети шифровальщиком VHD при помощи написанного под эту задачу загрузчика. Весь процесс занималу хакеров около 10 часов.
Дальнейший анализ применяемых злоумышленниками инструментов показал, что использованный бэкдор — это часть мультиплатформенного фреймворка MATA (он же Dacls). Исходя из этого, был сделан вывод, что VHD — это очередной инструмент группировки Lazarus.