Новости NineRAT: новый шпионский вредонос от Lazarus похищает данные из организаций по всему миру

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Сельское хозяйство, производство и критическая инфраструктура — главные цели северокорейских хакеров.


37kv9xdyhtkwyod8o278n5vhe3tvkghe.jpg


Cвязанные с Северной Кореей и известные как Lazarus Group хакеры вновь попали на радары исследователей безопасности. Всему виной новая вредоносная кампания глобальных масштабов, которую организовали эти киберпреступники.

Кампания включает в себя использование уязвимости в библиотеке Log4j , неутешительную статистику по безопасности которой Для просмотра ссылки Войди или Зарегистрируйся ранее. Печально известная Log4Shell ( Для просмотра ссылки Войди или Зарегистрируйся ) на этот раз применяется хакерами для развёртывания троянских программ удалённого доступа (RAT) на скомпрометированных хостах.

Исследователи Cisco Talos Для просмотра ссылки Войди или Зарегистрируйся эту активность под названием «Operation Blacksmith», отмечая использование киберзлодеями сразу трех семейств вредоносного ПО на базе Dlang .

Последние тактики Lazarus специалисты описывают как определённый сдвиг, явно пересекающийся с деятельностью группы Andariel (также известной как Onyx Sleet или Silent Chollima), являющейся подгруппой Lazarus.

«Andariel обычно занимается первоначальным доступом, разведкой и установлением долгосрочного доступа для шпионажа в интересах правительства Северной Кореи», — говорится в Для просмотра ссылки Войди или Зарегистрируйся исследователей Talos.

Цепочки атак включают использование CVE-2021-44228 против общедоступных серверов VMWare Horizon для доставки NineRAT. К основным отраслям, подвергшимся атакам, относятся производство, сельское хозяйство и физическая безопасность.

Использование Log4Shell неудивительно, учитывая, что 2.8% приложений Для просмотра ссылки Войди или Зарегистрируйся уязвимые версии библиотеки спустя два года после выхода исправления.

NineRAT, разработанный в мае 2022 года, был впервые использован в марте 2023 года в атаке на сельскохозяйственную организацию в Южной Америке. Затем вредонос был снова применён сентябре 2023 года на европейскую производственную компанию. Как сообщается, для уклонения от обнаружения хакеры использовали Telegram в качестве канала для отправки вредоносных команд.

Вредоносное ПО действует как основное средство взаимодействия с заражённой конечной точкой, позволяя атакующим отправлять команды для сбора информации о системе, загрузки файлов, скачивания дополнительных файлов и даже удаления и обновления самого себя.

«Как только NineRAT активируется, он принимает первоначальные команды с C2 -канала в Telegram, чтобы снова собрать цифровые отпечатки заражённых систем», — отмечают исследователи.

Также в атаках был замечен специальный прокси-инструмент под названием HazyLoad, ранее идентифицированный Microsoft как используемый Lazarus в рамках своих вторжений, эксплуатирующих критические уязвимости в JetBrains TeamCity . HazyLoad загружается и выполняется с помощью другого вредоносного ПО под названием BottomLoader.

Кроме того, в рамках Operation Blacksmith наблюдается доставка вредоноса DLRAT, который является как загрузчиком, так и трояном удалённого доступа, способным проводить разведку системы, разворачивать дополнительное вредоносное ПО и получать команды от C2-сервера.

Рассмотренная вредоносная кампания наглядно демонстрирует насколько опасно игнорировать уязвимости в программном обеспечении. Хотя исправление для Log4Shell появилось два года назад, хакеры по-прежнему эксплуатируют его для проникновения в сети, потому что разработчики не сочли нужным вовремя обновить библиотеку в разрабатываемых продуктах.

Компаниям следует регулярно обновлять своё ПО и тщательно следить за новыми угрозами. Также важно использовать современные средства защиты, такие как антивирусы и системы обнаружения вторжений. Безопасность любой современной компании должна стоять во главе угла.
 
Источник новости
www.securitylab.ru

Похожие темы