Истражувачите на Kaspersky идентификуваа нова, претходно непозната активност на Lazarus (многу напредна закана активна уште од 2009 година), поврзана со голем број повеќеслојни кампањи. Од почетокот на 2020 година, таа е насочена кон одбранбената индустрија, со обичен заден влез наречен ThreatNeedle. Задната врата се движи латерално преку заразените мрежи собирајќи чувствителни информации.
Активен од најмалку 2009 година, Lazarus е вклучен во големи кампањи за сајбер-шпионажни акции, ransomware, па дури и напади на пазарот на криптовалути. Додека изминатите неколку години тие се фокусираа на финансиски институции, на почетокот на 2020 година, се чини дека тие ја додадоа одбранбената индустрија во нивното „портфолио“.
Истражувачите на Касперски, првпат станаа свесни за оваа кампања кога биле повикани да помогнат во одговор на инцидент и откриле дека организацијата станала жртва на обичен backdoor (вид на малициозен софтвер што овозможува целосна далечинска контрола над уредот). Наречена ThreatNeedle, backdoor се движи странично преку заразени мрежи и вади доверливи информации. Досега беа погодени организациите во повеќе од десетина земји.
Почетната инфекција се јавува преку spear phishing (испраќање е-пошта наводно од познат или доверлив испраќач со цел да се наведат насочени лица да откриваат доверливи информации); целите добиваат е-пошта што содржат или злонамерен додаток на Word или линк хостиран на серверите на компанијата, во кој честопати, се тврди дека се потребни итни ажурирања поврзани со пандемијата и доаѓаат, наводно, од угледен медицински центар.
Откако ќе се отвори малициозниот документ, малициозен софтвер се отфрла и преминува во следната фаза од процесот на распоредување. Малициозен софтвер ThreatNeedle користен во оваа кампања припаѓа на семејство со малициозен софтвер познато како Manuscrypt, кое припаѓа на групата Lazarus и претходно е виден како напаѓа деловни активности со криптовалути. Откако ќе се инсталира, ThreatNeedle е во состојба да добие целосна контрола врз уредот на жртвата, што значи дека може да стори сé, од манипулирање со датотеки до извршување примени команди.
Една од најинтересните техники во оваа кампања е можноста на групата да украде податоци и од канцелариските ИТ мрежи (мрежа што содржи компјутери со пристап до Интернет) и од ограничената мрежа на компаниите (обично содржи средства со критична мисија и компјутери со многу чувствителни податоци и нема пристап до Интернет). Според политиките на компаниите, не треба да се пренесуваат никакви информации помеѓу овие две мрежи. Сепак, администраторите може да се поврзат со двете мрежи за да ги одржуваат овие системи. Lazarus успева да добие контрола врз работните станици на администраторот, а потоа поставува злонамерен портал за напад на ограничената мрежа и да краде и извлекува доверливи податоци од таму.
„Lazarus беше можеби најактивниот актер на закана за 2020 година и се чини дека состојбата нема да се промени наскоро. Всушност, веќе во јануари оваа година, Тимот за анализа на закани на Google објави дека Lazarus бил откриен како го користи истиот backdoor за да ги насочи истражувачите за безбедност. Очекуваме да видиме повеќе ThreatNeedle во иднина и ќе внимаваме “, изјави Seongsu Park, постар истражувач за безбедност во Глобалниот тим за истражување и анализа (GReAT).
„Lazarus не е само многу плоден, туку и многу софистициран. Не само што беа во можност да ја надминат сегментацијата на мрежата, туку направија и обемно истражување за да создадат високо персонализирани и ефективни phishing е-мејлови и изградија сопствени алатки за извлекување на украдените информации на оддалечен сервер. Важните организации преземаат дополнителни безбедносни мерки на претпазливост за да се заштитат од овие видови напредни напади “, додава Vyacheslav Kopeytsev, експерт за безбедност со Kaspersky ICS CERT.
За сите продукти и решенија ѕа кибер беѕбедност на Kaspersky, контактирајте ги нашите сертифицирани ИТ инженери. Кабтел е долгогодишен Kaspersky Platinum Partner.
Во КАБТЕЛ, силно веруваме дека клучот за да останете напред во брзата ИКТ индустрија лежи…
Секоја петта компанија доживеала прекршување на податоците Според степенот на ризик од сајбер закани кои…
Sophos XDR: Нова генеративна функционалност на вештачката интелигенција и подобрувања на истрагите Работете самоуверено и…
Ослободете го целосниот потенцијал на вашите операции со SCADA автоматизација SCADA системите за надзорна контрола…
Sophos Firewall: Новi Desktop Firewalls XGS Series и нова верзија Sophos Firewall Operating System v21…
Кабтел повторно Key Industrial Partner на Thales, со зајакната посветеност кон иновативни и безбедни решенија…