+7 495 269-26-07
+7 495 419-15-03
+7 495 269-26-07 +7 495 419-15-03
Личный кабинет
Техническая поддержка:
+7 495 269-26-07
+7 495 419-15-03
  • Блог
  • APT-группа Lazarus сменила вектор атак, под прицелом оборонная промышленность

APT-группа Lazarus сменила вектор атак, под прицелом оборонная промышленность

04.03.2021

Северокорейская APT-группировка Lazarus получила известность благодаря DDoS-атакам и взломами ресурсов государственных, военных, аэрокосмических учреждений в Южной Корее и США. Последние несколько лет вектор атак группировки был ориентирован на финансовые организации по всему миру, однако специалисты «Лаборатории Касперского» обнаружили, что в середине 2020 года Lazarus изменила направленность своих атак, запустив их на оборонную промышленность. В процессе расследования этой активности экспертам удалось изучить жизненный цикл атак и раскрыть технические подробности вредоносной кампании.

Вектором начального заражения был выбран фишинг. Изучив публичную информацию об атакуемой организации, злоумышленники установили адреса электронной почты различных ее подразделений. Фишинговые письма, оформленные в виде информационных сообщений о коронавирусной инфекции COVID-19, были написаны от имени медицинского центра, входящего в состав атакованной организации, и содержали вредоносные документы Microsoft Word или ссылки на такие документы, размещенные на удаленном сервере. Загрузка и запуск в системе вредоносного ПО выполнялись с помощью вредоносного кода, который содержался в виде макроса внутри документа.

Разрешив выполнение макросов в документе, пользователь приводил в действие работу вредоносного кода: на диск извлекались компоненты вредоносного ПО, которое, по заключению экспертов, относится к кластеру ThreatNeedle (семейству вредоносных программ Manuscrypt, также известно как NukeSped). Загрузчик ThreatNeedle распаковывает и запускает в зараженной системе бэкдор – модуль, находящийся только в оперативной памяти и используемый для удалённого управления зараженной системой. Используя бэкдор, злоумышленники выполняют первоначальную разведку и  с помощью инсталлятора ПО ThreatNeedle заражают другие компьютеры в сети предприятия. Инсталлятор отвечает за установку самого загрузчика ThreatNeedle и его регистрацию в автозапуске для закрепления в системе. Основная задача загрузчика – загрузка в оперативную память вредоносного ПО ThreatNeedle последнего этапа – бэкдора, с помощью которого злоумышленники могут передавать различные команды вредоносной программе, в частности:

  • операции с файлами/директориями;

  • сбор информации о зараженной системе;

  • управление процессом вредоносной программы;

  • вход в режим сна или гибернации и др.

Также известно, что злоумышленники применяли средство сбора учетных данных, известное как Responder, и заражали новые компьютеры в сети, используя инструменты Windows. 

Примечательно, что группировке Lazarus удалось вывести данные из полностью отделенного сегмента сети, не имевшего соединения с сетью Интернет. Злоумышленники скомпрометировали маршрутизатор, используемый администраторами для подключений к системам обоих сегментов. Но прямая маршрутизация трафика между корпоративным и изолированным сегментами сети была невозможна, из-за чего хакеры не могли использовать свой обычный набор вредоносного ПО для передачи на C&C данных, украденных с систем изолированного сегмента. Поэтому на скомпрометированном роутере был настроен прокси-сервер, что в результате позволило отправлять собранные из изолированного сегмента сети данные на командный сервер.

Предположительно основной целью атаки была кража интеллектуальной собственности.

«Очевидно, что для защиты от таких сложных целенаправленных многоэтапных вредоносных кампаний организациям необходимо принимать дополнительные меры по обеспечению безопасности: как в части применения программно-технических средств защиты, так и в части осведомленности работников об эффективности методов социальной инженерии. Ориентируясь на потребности клиента в условиях активного развития киберпреступности, мы предлагаем комплексное Anti-APT решение – ACR Service AntiAPT&EDR. Совмещенное использование возможностей Центра киберустойчивости ACRC, технологий «Лаборатории Касперского» Kaspersky Anti Targeted Attack и Kaspersky EDR позволяет нашим экспертам оперативно выявлять и реагировать на инциденты ИБ, обеспечивая принципиально новый уровень защищенности инфраструктуры заказчика от целенаправленных атак», – комментирует Оксана Васильева, руководитель Angara Professional Assistance.

Подробную информацию об услуге можно найти на нашем сайте в разделе «MSS», блок «ACR SERVICES EDR и ANTIAPT», а также получить у менеджеров компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.