Группа Lazarus использует малварь ThreatNeedle против оборонных предприятий - «Новости» » Интернет технологии
sitename
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
 Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
 На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
 Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
 Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
 Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
 Королевская почта Великобритании расследует возможную утечку данных - «Новости»
Королевская почта Великобритании расследует возможную утечку данных - «Новости»
 РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
 В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
 Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Группа Lazarus использует малварь ThreatNeedle против оборонных предприятий - «Новости»

✔Группа Lazarus использует малварь ThreatNeedle против оборонных предприятий - «Новости»

01 марта 2021 799 Новости / Изображения / Заработок / Отступы и поля / Вёрстка / Ссылки / Преимущества стилей / Самоучитель CSS / Текст 0

Эксперты «Лаборатории Касперского» обнаружили новую кампанию хак-группы Lazarus,  направленную на оборонную промышленность. Во время атак хакеры использовали малварь ThreatNeedle, относящуюся к кластеру Manuscrypt  (также известен как NukeSped).


Северокорейская хак-группа Lazarus активна как минимум с 2009 года и известна масштабными кампаниями кибершпионажа, атаками на криптовалютный рынок, а также операциями с использованием шифровальщиков. В последние годы группировка сосредоточила свои атаки на финансовых учреждениях по всему миру, однако с начала 2020 года среди целей злоумышленников оказались и предприятия оборонной промышленности.


«Лаборатория Касперского» получила возможность более детально исследовать такую атаку, когда одна из пострадавших организаций обратилась за помощью. Эксперты компании обнаружили в сети пострадавших бэкдор ThreatNeedle, ранее замеченный в атаках на криптовалютные компании.


Начальное заражение происходило посредством фишинга: злоумышленники направляли целям письма с вредоносными документами Microsoft Word или ссылками на такие документы, размещенные на удаленном сервере. В письмах хакеры сделали ставку на актуальную тему — профилактику и диагностику COVID-19. Эти послания были написаны якобы от имени сотрудника медицинского центра, входящего в состав атакованной организации.



Пример фишингового письма

Если пользователь открывал вредоносный документ и разрешал выполнение макросов, малварь приступала к многоэтапной процедуре развертывания, а после установки ThreatNeedle злоумышленники получали практически полный контроль над устройством.


Одна из наиболее интересных деталей этой кампании связана с тем, как злоумышленники преодолели сегментацию сети. Сеть атакованного предприятия была разделена на два сегмента: корпоративный (сеть, компьютеры которой имеют доступ к интернету) и изолированный (сеть, компьютеры которой содержат конфиденциальные данные и не имеют доступа к интернету). При этом, согласно политикам безопасности, любая передача информации между этими сегментами запрещена, то есть они должны быть полностью разделены. Но на деле администраторы имели возможность подключения к обоим сегментам для настройки и оказания технической поддержки пользователям в обеих зонах.


Lazarus  удалось получить учетные данные от маршрутизатора, используемого администраторами для подключений к изолированной и корпоративной сетям. Изменив его настройки и установив дополнительное ПО, они смогли превратить его в хостинг для малвари в сети предприятия. После этого маршрутизатор использовался для проникновения в изолированный сегмент, вывода данных из него и отправки их на командный сервер.


Исследователи отмечают, что основной целью данной атаки явно была кража интеллектуальной собственности.



Общая схема атаки

«Lazarus была, возможно, самой активной кибергруппой в 2020 году и, похоже, остается таковой. В январе 2021 года команда анализа угроз Google Threat Analysis Team сообщила, что Lazarus использует тот же бэкдор для атак на исследователей в области кибербезопасности. Мы полагаем, что неоднократно увидим ThreatNeedle в будущем, и продолжим следить за этим бэкдором», — комментирует Сеонгсу Парк (Seongsu Park), старший эксперт команды GReAT.


«Lazarus — не только сверхактивная группа, но и весьма продвинутая. Злоумышленники не только преодолели сегментацию сети, но и провели тщательное исследование, чтобы создать персонализированную и эффективную фишинговую рассылку и кастомизированные инструменты для передачи украденной информации на удалённый сервер. Предприятиям необходимо принимать дополнительные меры безопасности для защиты от такого рода кампаний кибершпионажа», — добавляет Вячеслав Копейцев, старший эксперт Kaspersky ICS CERT.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Эксперты «Лаборатории Касперского» обнаружили новую кампанию хак-группы Lazarus, направленную на оборонную промышленность. Во время атак хакеры использовали малварь ThreatNeedle, относящуюся к кластеру Manuscrypt (также известен как NukeSped). Северокорейская хак-группа Lazarus активна как минимум с 2009 года и известна масштабными кампаниями кибершпионажа, атаками на криптовалютный рынок, а также операциями с использованием шифровальщиков. В последние годы группировка сосредоточила свои атаки на финансовых учреждениях по всему миру, однако с начала 2020 года среди целей злоумышленников оказались и предприятия оборонной промышленности. «Лаборатория Касперского» получила возможность более детально исследовать такую атаку, когда одна из пострадавших организаций обратилась за помощью. Эксперты компании обнаружили в сети пострадавших бэкдор ThreatNeedle, ранее замеченный в атаках на криптовалютные компании. Начальное заражение происходило посредством фишинга: злоумышленники направляли целям письма с вредоносными документами Microsoft Word или ссылками на такие документы, размещенные на удаленном сервере. В письмах хакеры сделали ставку на актуальную тему — профилактику и диагностику COVID-19. Эти послания были написаны якобы от имени сотрудника медицинского центра, входящего в состав атакованной организации. Пример фишингового письма Если пользователь открывал вредоносный документ и разрешал выполнение макросов, малварь приступала к многоэтапной процедуре развертывания, а после установки ThreatNeedle злоумышленники получали практически полный контроль над устройством. Одна из наиболее интересных деталей этой кампании связана с тем, как злоумышленники преодолели сегментацию сети. Сеть атакованного предприятия была разделена на два сегмента: корпоративный (сеть, компьютеры которой имеют доступ к интернету) и изолированный (сеть, компьютеры которой содержат конфиденциальные данные и не имеют доступа к интернету). При этом, согласно политикам безопасности, любая передача информации между этими сегментами запрещена, то есть они должны быть полностью разделены. Но на деле администраторы имели возможность подключения к обоим сегментам для настройки и оказания технической поддержки пользователям в обеих зонах. Lazarus удалось получить учетные данные от маршрутизатора, используемого администраторами для подключений к изолированной и корпоративной сетям. Изменив его настройки и установив дополнительное ПО, они смогли превратить его в хостинг для малвари в сети предприятия. После этого маршрутизатор использовался для проникновения в изолированный сегмент, вывода данных из него и отправки их на командный сервер. Исследователи отмечают, что основной целью данной атаки явно была кража интеллектуальной собственности. Общая схема атаки «Lazarus была, возможно, самой активной кибергруппой в 2020 году и, похоже, остается таковой. В январе 2021 года команда анализа угроз Google Threat Analysis Team сообщила, что Lazarus использует тот же бэкдор для атак на исследователей в области кибербезопасности. Мы полагаем, что неоднократно увидим ThreatNeedle в будущем, и продолжим следить за этим бэкдором», — комментирует Сеонгсу Парк (Seongsu Park), старший эксперт команды GReAT. «Lazarus — не только сверхактивная группа, но и весьма продвинутая. Злоумышленники не только преодолели сегментацию сети, но и провели тщательное исследование, чтобы создать персонализированную и эффективную фишинговую рассылку и кастомизированные инструменты для передачи украденной информации на удалённый сервер. Предприятиям необходимо принимать дополнительные меры безопасности для защиты от такого рода кампаний кибершпионажа», — добавляет Вячеслав Копейцев, старший эксперт Kaspersky ICS CERT.
CSS
запостил(а)
Macey
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: