Исследователи из «Лаборатории Касперского» обнаружили новые атаки северокорейской хак-группы Andariel, которая входит в состав небезызвестной Lazarus. В этих атаках используются модификации DTrack, а также новый вымогатель Maui. В числе целей группы — крупные организации в США, Японии, Индии, Вьетнаме и России.
При этом подчеркивается, что Andariel не фокусируется на каких-то определенных компаниях. Главное для атакующих, чтобы у целевой организации было прочное финансовое положение, так как, традиционно для Lazarus, основная цель атак заключается в получении финансовой выгоды.
Эта группировка активна более десяти лет и в 2022 году продолжает расширять свой арсенал малвари и географию атак. В июльском отчете Агентства по кибербезопасности и защите инфраструктуры США (CISA) сообщалось, что Andariel атаковала государственные и медицинские организации посредством вымогателя Maui.
Аналитики «Лаборатории Касперского» говорят, что этим хакеры не ограничиваются, так как эксерты обнаружили как минимум одну атаку на жилищную компанию в Японии и несколько дополнительных жертв в Индии, Вьетнаме и России. Причем злоумышленники могут находиться в целевой сети долгие месяцы, прежде чем начать фактическую атаку.
Помимо Maui, злоумышленники используют шпионскую программу DTrack, которая, вероятно, была разработана группой Lazarus. Этот вредонос известен давно и используется для загрузки файлов в системы жертв, скачивания их оттуда, записи нажатия клавиш и проведения других действий, типичных для RAT-малвари. DTrack собирает информацию о системе и истории браузера через команды Windows.
По наблюдениям экспертов, вымогатель Maui запускался уже после внедрения в корпоративную сеть DTrack (детектируется на атакуемых хостах через 10 часов после активации DTrack) и использовался в первую очередь для атак на компании в США и Японии.
Сообщается, что в своих атаках злоумышленники в основном эксплуатируют уязвимые версии публичных онлайн-сервисов. Так, в одном из случаев малварь была загружена HTTP-сервером HFS: преступники воспользовались неизвестным эксплоитом, который позволил им запустить скрипт Powershell с удаленного сервера. В другом случае им удалось скомпрометировать сервер Weblogic через эксплоит к уязвимости CVE-2017-10271, что также в итоге тоже привело к запуску постороннего скрипта.
«Мы следим за Andariel годами и видим, что их атаки постоянно меняются и усложняются. Стоит обратить внимание на то, что группа распространяет вымогательское ПО по всему миру. Это подтверждает, что деньги по-прежнему остаются мотивацией для участников этой группы», — говорит Мария Наместникова, руководитель российского исследовательского центра «Лаборатории Касперского».