13.12.2023 | Проверьте своё ПО: Lazarus атакует цепочку поставок пакетов npm |
Китайская ИБ-компания QiAnXin обнаружила новую кампанию группировка Lazarus, в ходе которой используются npm -пакеты для атак на цепочку поставок с помощью многоуровневого метода загрузки для сокрытия следов атаки. На основе характеристик кода образцов загрузки и других связанных образцов исследователи связали их с образцами предыдущих атак Lazarus, учитывая, что Lazarus часто использует атаки на цепочку поставок. Многоуровневый метод загрузки вредоносного ПО включает в себя следующие этапы:
Использование многоуровневого метода загрузки позволяет атакующим скрыть следы атаки от антивирусного программного обеспечения. Если антивирусное ПО обнаружит первый файл PE , оно может заблокировать его загрузку. Однако, если антивирусное ПО не обнаружит первый файл PE, оно не сможет обнаружить и второй файл PE, который является более опасным. Образцы также используют методы запутывания для связи с C2-сервером для избегания обнаружения и анализа, в частности RSA-шифрование. Другим методом запутывания является использование методов сжатия с использованием алгоритма gzip. Это затрудняет анализ содержимого связи. Последующие нагрузки образцов загрузки являются троянскими программами, которые могут похищать конфиденциальную информацию (учетные данные, финансовую и личную информацию) и выполнять удаленные команды (в т.ч. устанавливать другие вредоносные программы, отслеживать активность пользователя и захватывать контроль над компьютером жертвы). Исходя из многоуровневого метода загрузки и характеристик связи с C2-сервером, атакующие, вероятно, пытаются скрыть следы атаки и снизить риск обнаружения последующих нагрузок. Учитывая связь с Lazarus, атакующие, вероятно, будут использовать эту возможность для проведения дальнейших атак. |
|
Проверить безопасность сайта
