Обнаружена новая вредоносная кампания северокорейской хак-группы Lazarus, активная с февраля по июль 2022 года. На этот раз хакеры нацелились на поставщиков энергии по всему миру, в том числе на компании в США, Канаде и Японии.

О новой кампании рассказывают эксперты Cisco Talos, по мнению которых, целью Lazarus было «проникновение в организации по всему миру для установления долгосрочного доступа и последующей кражи данных, представляющих интерес для государства-противника».

Тогда как ранее атаки Lazarus приводили к использованию малвари Preft (Dtrack) и NukeSped (Manuscrypt), новая кампания оказалась примечательна использованием ряда других вредоносных программ: HTTP-бота VSingle, который выполняет произвольный код в удаленной сети; написанного на Go бэкдора YamaBot; а также ранее неизвестного ранее трояна удаленного доступа (RAT) MagicRAT, который применялся для поиска и кражи данных с зараженных устройств, но также может использоваться для запуска дополнительных полезных нагрузок в зараженных системах.

Стоит сказать, что об этой активности Lazarus уже писали аналитики из компаний Symantec и AhnLab, но свежий отчет Cisco получился более углубленным и раскрывает гораздо больше деталей о деятельности хакеров.

Известно, что первоначальный доступ к корпоративным сетям своих жертв Lazarus получали за счет эксплуатации уязвимостей в продуктах VMware (например, Log4Shell). Эти проблемы применялись для запуска шелл-кода, создания реверс-шеллов и выполнения произвольных команд на скомпрометированной машине.

«Хотя в атаках применялась одна и та же тактика, развернутые в результате вредоносные программы отличались друг от друга, что указывает на большое разнообразие имплантов в распоряжении Lazarus», — говорят исследователи.

Так, использование малвари VSingle в ходе одной из атак позволило злоумышленникам выполнять различные действия, включая разведку, кражу данных и ручную установку бэкдоров, что дало им четкое представление о среде жертвы. В сущности, этот вредонос подготавливает почву для кражи учетных данных, создает новых пользователей-администраторов на хосте и устанавливает реверс-шелл для связи с управляющим сервером и загрузки плагинов, которые расширяют его функциональность.

В другом случае, после получения первоначального доступа и проведения разведки, хакеры использовали не только VSingle, но и MagicRAT, которому исследователи уделили особое внимание и посвятили отдельный пост. Троян способен самостоятельно закрепляться в системе жертвы, выполняя жестко запрограммированные команды и создавая запланированные задачи, проводить разведку и извлекать дополнительные вредоносы с управляющего сервера (такие как TigerRAT).

В третьем случае Lazarus развертывала в системах пострадавших малварь YamaBot, написанную на Go и обладающую стандартными возможностями RAT:

  • составление списка файлов и каталогов;
  • передача информацию о процессах на управляющий сервер;
  • скачивание удаленных файлов;
  • выполнение произвольных команд;.
  • самоуничтожение.

Также отмечается, что нередко группировка использовала не только собственные инструменты, но осуществляла сбор учетных данных в сетях жертвы с помощью таких известных решений, как Mimikatz и Procdump, отключала антивирусные компоненты и службы Active Directory, а также принимала меры по заметанию следов после активации бэкдоров.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии