31.10.2023 | ПО под контролем Северной Кореи: Lazarus использует ваши собственные инструменты против вас |
Специалисты Лаборатории Касперского приписали северокорейской группировке Lazarus новую кампанию, в ходе которой неназванный поставщик ПО был скомпрометирован посредством использования уязвимостей в другом программном обеспечении. По словам исследователей, кульминацией атак стало развертывание семейств вредоносных программ, таких как SIGNBT и LPEClient. Последний используется группой для профилирования жертв и доставки полезных нагрузок. В Лаборатории Касперского отметили, что компания, разработавшая уязвимое ПО, ранее уже несколько раз становилась жертвой Lazarus, что указывает на попытку украсть исходный код или скомпрометировать цепочку поставок программного обеспечения, как в случае с атакой на цепочку поставок 3CX. Группа Lazarus продолжала использовать уязвимости в ПО компании, одновременно атакуя других производителей ПО. По состоянию на середину июля 2023 года было выявлено несколько жертв. По словам специалистов, жертвы были атакованы с помощью легитимного средства безопасности, предназначенного для шифрования веб-коммуникаций с использованием цифровых сертификатов. Название ПО не разглашается, а точный механизм распространения SIGNBT остается неизвестным. Помимо использования различных тактик для установления и поддержания устойчивости, цепочки атак используют загрузчик для запуска вредоносного ПО SIGNBT, основная функция которого — установить контакт с удаленным сервером и получить дальнейшие команды для выполнения на зараженном хосте. Бэкдор оснащен широким набором возможностей для контроля над системой жертвы. Сюда входит перечисление процессов, операции с файлами и каталогами, а также развертывание полезных нагрузок, в том числе LPEClient и различных утилит для сбора учетных данных. Отмечается, что LPEClient являлся основным инструментом для доставки вредоносного ПО на последней стадии атак как минимум в 3 разных кампаниях группы в 2023 году. Одна из таких кампаний проложила путь к внедрению имплантата Gopuram, который использовался в кибератаках на криптовалютные компании с использованием троянизированной версии ПО для голосовой связи и видеоконференций 3CX . |
Проверить безопасность сайта