Новости Проверьте своё ПО: Lazarus атакует цепочку поставок пакетов npm

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Используя многоуровневый способ загрузки, хакеры тщательно скрывают свою активность.


00z1j72i4avyqs1nqaqb8zybst5rfr66.jpg


Китайская ИБ-компания QiAnXin Для просмотра ссылки Войди или Зарегистрируйся новую кампанию группировка Lazarus, в ходе которой используются npm -пакеты для атак на цепочку поставок с помощью многоуровневого метода загрузки для сокрытия следов атаки.

На основе характеристик кода образцов загрузки и других связанных образцов исследователи связали их с образцами предыдущих атак Lazarus, учитывая, что Lazarus часто использует атаки на цепочку поставок.

Многоуровневый метод загрузки вредоносного ПО включает в себя следующие этапы:

  1. Загрузка и расшифровка встроенного файла PE, который содержит код для второго этапа загрузки. Расшифровка обычно выполняется с использованием XOR-шифрования.
  1. Загрузка и выполнение второго файла PE, который содержит код для установления связи с C2 -сервером и доставки последующей полезной нагрузки.
Использование многоуровневого метода загрузки позволяет атакующим скрыть следы атаки от антивирусного программного обеспечения. Если антивирусное ПО обнаружит первый файл PE , оно может заблокировать его загрузку. Однако, если антивирусное ПО не обнаружит первый файл PE, оно не сможет обнаружить и второй файл PE, который является более опасным.

Образцы также используют методы запутывания для связи с C2-сервером для избегания обнаружения и анализа, в частности RSA-шифрование. Другим методом запутывания является использование методов сжатия с использованием алгоритма gzip. Это затрудняет анализ содержимого связи.

Последующие нагрузки образцов загрузки являются троянскими программами, которые могут похищать конфиденциальную информацию (учетные данные, финансовую и личную информацию) и выполнять удаленные команды (в т.ч. устанавливать другие вредоносные программы, отслеживать активность пользователя и захватывать контроль над компьютером жертвы).

Исходя из многоуровневого метода загрузки и характеристик связи с C2-сервером, атакующие, вероятно, пытаются скрыть следы атаки и снизить риск обнаружения последующих нагрузок. Учитывая связь с Lazarus, атакующие, вероятно, будут использовать эту возможность для проведения дальнейших атак.
 
Источник новости
www.securitylab.ru

Похожие темы