Истражувачите на Kaspersky идентификуваа нова, претходно непозната активност на Lazarus (многу напредна закана активна уште од 2009 година), поврзана со голем број повеќеслојни кампањи. Од почетокот на 2020 година, таа е насочена кон одбранбената индустрија, со обичен заден влез наречен ThreatNeedle. Задната врата се движи латерално преку заразените мрежи собирајќи чувствителни информации.
Lazarus е еден од најактивните и најплодни закани на денешницата.
Активен од најмалку 2009 година, Lazarus е вклучен во големи кампањи за сајбер-шпионажни акции, ransomware, па дури и напади на пазарот на криптовалути. Додека изминатите неколку години тие се фокусираа на финансиски институции, на почетокот на 2020 година, се чини дека тие ја додадоа одбранбената индустрија во нивното „портфолио“.
Истражувачите на Касперски, првпат станаа свесни за оваа кампања кога биле повикани да помогнат во одговор на инцидент и откриле дека организацијата станала жртва на обичен backdoor (вид на малициозен софтвер што овозможува целосна далечинска контрола над уредот). Наречена ThreatNeedle, backdoor се движи странично преку заразени мрежи и вади доверливи информации. Досега беа погодени организациите во повеќе од десетина земји.
Како започнува акцијата?
Почетната инфекција се јавува преку spear phishing (испраќање е-пошта наводно од познат или доверлив испраќач со цел да се наведат насочени лица да откриваат доверливи информации); целите добиваат е-пошта што содржат или злонамерен додаток на Word или линк хостиран на серверите на компанијата, во кој честопати, се тврди дека се потребни итни ажурирања поврзани со пандемијата и доаѓаат, наводно, од угледен медицински центар.
Откако ќе се отвори малициозниот документ, малициозен софтвер се отфрла и преминува во следната фаза од процесот на распоредување. Малициозен софтвер ThreatNeedle користен во оваа кампања припаѓа на семејство со малициозен софтвер познато како Manuscrypt, кое припаѓа на групата Lazarus и претходно е виден како напаѓа деловни активности со криптовалути. Откако ќе се инсталира, ThreatNeedle е во состојба да добие целосна контрола врз уредот на жртвата, што значи дека може да стори сé, од манипулирање со датотеки до извршување примени команди.
Една од најинтересните техники во оваа кампања е можноста на групата да украде податоци и од канцелариските ИТ мрежи (мрежа што содржи компјутери со пристап до Интернет) и од ограничената мрежа на компаниите (обично содржи средства со критична мисија и компјутери со многу чувствителни податоци и нема пристап до Интернет). Според политиките на компаниите, не треба да се пренесуваат никакви информации помеѓу овие две мрежи. Сепак, администраторите може да се поврзат со двете мрежи за да ги одржуваат овие системи. Lazarus успева да добие контрола врз работните станици на администраторот, а потоа поставува злонамерен портал за напад на ограничената мрежа и да краде и извлекува доверливи податоци од таму.
Најактивна закана во 2020
„Lazarus беше можеби најактивниот актер на закана за 2020 година и се чини дека состојбата нема да се промени наскоро. Всушност, веќе во јануари оваа година, Тимот за анализа на закани на Google објави дека Lazarus бил откриен како го користи истиот backdoor за да ги насочи истражувачите за безбедност. Очекуваме да видиме повеќе ThreatNeedle во иднина и ќе внимаваме “, изјави Seongsu Park, постар истражувач за безбедност во Глобалниот тим за истражување и анализа (GReAT).
„Lazarus не е само многу плоден, туку и многу софистициран. Не само што беа во можност да ја надминат сегментацијата на мрежата, туку направија и обемно истражување за да создадат високо персонализирани и ефективни phishing е-мејлови и изградија сопствени алатки за извлекување на украдените информации на оддалечен сервер. Важните организации преземаат дополнителни безбедносни мерки на претпазливост за да се заштитат од овие видови напредни напади “, додава Vyacheslav Kopeytsev, експерт за безбедност со Kaspersky ICS CERT.
За да ги заштитите вашите организации од напади како ThreatNeedle, експертите од Касперски препорачуваат:
- Обезбедете му на вашиот персонал основна обука за хигиена за компјутерска безбедност, бидејќи многу насочени напади започнуваат со фишинг или други техники за социјален инженеринг.
- Ако некое претпријатие има оперативна технологија (ОТ) или критична инфраструктура, проверете дали е одвоена од корпоративната мрежа, како и дека нема неовластено поврзување.
- Осигурете се дека вработените се свесни и ги следат политиките за компјутерска безбедност.
- Обезбедете му на тимот на вашиот беѕбедносен центар пристап до најновите информации за закани. Kaspersky Threat Intelligence Portal обезбедува податоци за сајбер напади и увиди собрани од Kaspersky повеќе од 20 години.
- Имплементирајте безбедносно решение за корпоративно ниво кое открива напредни закани на ниво на мрежа во рана фаза, како што е платформата за анти-насочен напад на Kaspersky Anti Targeted Attack Platform.
- Исто така, се препорачува да се имплементира посветено решение за индустриски јазли и мрежи што овозможува следење, анализа и откривање на закана на сообраќајот на мрежните мрежи – како што е Kaspersky Industrial CyberSecurity.
За сите продукти и решенија ѕа кибер беѕбедност на Kaspersky, контактирајте ги нашите сертифицирани ИТ инженери. Кабтел е долгогодишен Kaspersky Platinum Partner.
