Новости ПО под контролем Северной Кореи: группа Lazarus поражает IT-сектор

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Как последствия несёт атака, жертвы которой держатся в секрете?


zb5d12xuxcjm6xj133wlmmlpax15pr1w.jpg


Специалисты Лаборатории Касперского Для просмотра ссылки Войди или Зарегистрируйся северокорейской группировке Lazarus новую кампанию, в ходе которой неназванный поставщик ПО был скомпрометирован посредством использования уязвимостей в другом программном обеспечении.

По словам исследователей, кульминацией атак стало развертывание семейств вредоносных программ, таких как SIGNBT и LPEClient. Последний используется группой для профилирования жертв и доставки полезных нагрузок.

В Лаборатории Касперского отметили, что компания, разработавшая уязвимое ПО, ранее уже несколько раз становилась жертвой Lazarus, что указывает на попытку украсть исходный код или скомпрометировать цепочку поставок программного обеспечения, как в случае с Для просмотра ссылки Войди или Зарегистрируйся 3CX.

Группа Lazarus продолжала использовать уязвимости в ПО компании, одновременно атакуя других производителей ПО. По состоянию на середину июля 2023 года было выявлено несколько жертв.

По словам специалистов, жертвы были атакованы с помощью легитимного средства безопасности, предназначенного для шифрования веб-коммуникаций с использованием цифровых сертификатов. Название ПО не разглашается, а точный механизм распространения SIGNBT остается неизвестным.

Помимо использования различных тактик для установления и поддержания устойчивости, цепочки атак используют загрузчик для запуска вредоносного ПО SIGNBT, основная функция которого — установить контакт с удаленным сервером и получить дальнейшие команды для выполнения на зараженном хосте.

Бэкдор оснащен широким набором возможностей для контроля над системой жертвы. Сюда входит перечисление процессов, операции с файлами и каталогами, а также развертывание полезных нагрузок, в том числе LPEClient и различных утилит для сбора учетных данных. Отмечается, что LPEClient являлся основным инструментом для доставки вредоносного ПО на последней стадии атак как минимум в 3 разных кампаниях группы в 2023 году.

Одна из таких кампаний проложила путь к внедрению имплантата Gopuram, который использовался в Для просмотра ссылки Войди или Зарегистрируйся для голосовой связи и видеоконференций 3CX .
 
Источник новости
www.securitylab.ru

Похожие темы