✔Lazarus неоднократно взламывала неназванного разработчика ПО - «Новости»

10 ноября 2023 480 Новости / Преимущества стилей / Вёрстка / Изображения / Текст 0

Исследователи отмечают, что уязвимости в неназванном легитимном ПО, которыми воспользовалась Lazarus, не были новыми. Однако, несмотря на неоднократные предупреждения разработчиков и выпущенные ими патчи, многие компании продолжали использовать уязвимый софт, что и позволяло злоумышленникам воспользоваться багам.

Сообщается, что для атак хакеры применяли сложные методы и «продвинутые техники обхода защитных средств», что в итоге вело к развертыванию малвари SIGNBT вместе с шелл-кодом, используемым для внедрения полезной нагрузки в память.

Для контроля над устройствами жертв злоумышленники в основном использовали малварь SIGNBT. Ее основная функция заключалась в установлении контакта с удаленным сервером хакеров и получении дальнейших команд для выполнения на зараженном хосте.

Также атакующие эксплуатировали уже известный инструмент LPEClient, который является инфостилером и загрузчиком вредоносного ПО. Ранее он был задействован в целевых атаках на подрядчиков оборонных предприятий, ядерных инженеров и криптовалютный сектор.

LPEClient играл ключевую роль в определении профиля жертвы и внедрения в систему других вредоносов. Причем отмечается, что аналогичным образом злоумышленники действовали и во время атаки на цепочку поставок, при взломе компании ЗСХ.

Различные атаки с использованием LPEClient

Как показал дальнейший анализ, малварь Lazarus неоднократно использовалось для атак на первоначальную жертву — неназванного поставщика программного обеспечения. Исследователи считают, что тот факт, что Lazarus несколько раз взломали одну и ту же жертву, указывает на то, что у злоумышленников была четкая цель, вероятно, заключающаяся в получении критически важных исходных кодов или нарушении цепочки поставок.

Отчет гласит, что хакеры регулярно эксплуатировали уязвимости в программном обеспечении компаний и расширяли спектр мишеней, нацеливаясь на организации, использующие неисправленные версии софта для шифрования веб-коммуникаций.

«Продолжающиеся атаки Lazarus — свидетельство того, что злоумышленники обладают серьезными техническими возможностями и сильной мотивацией. Они действуют по всему миру, целясь в разные организации из промышленного сектора, и используют для этого разнообразные методы. Угроза сохраняется и постоянно эволюционирует, что требует особой бдительности», — комментирует Сонгсу Парк (Seongsu Park), эксперт по кибербезопасности «Лаборатории Касперского».

Специалисты «Лаборатории Касперского» выявили новую кампанию северокорейской хак-группы Lazarus — с использованием легитимного ПО, предназначенного для шифрования веб-коммуникаций с помощью цифровых сертификатов. В итоге был скомпрометирован неназванный поставщик программного обеспечения. Исследователи отмечают, что уязвимости в неназванном легитимном ПО, которыми воспользовалась Lazarus, не были новыми. Однако, несмотря на неоднократные предупреждения разработчиков и выпущенные ими патчи, многие компании продолжали использовать уязвимый софт, что и позволяло злоумышленникам воспользоваться багам. Сообщается, что для атак хакеры применяли сложные методы и «продвинутые техники обхода защитных средств», что в итоге вело к развертыванию малвари SIGNBT вместе с шелл-кодом, используемым для внедрения полезной нагрузки в память. Для контроля над устройствами жертв злоумышленники в основном использовали малварь SIGNBT. Ее основная функция заключалась в установлении контакта с удаленным сервером хакеров и получении дальнейших команд для выполнения на зараженном хосте. Также атакующие эксплуатировали уже известный инструмент LPEClient, который является инфостилером и загрузчиком вредоносного ПО. Ранее он был задействован в целевых атаках на подрядчиков оборонных предприятий, ядерных инженеров и криптовалютный сектор. LPEClient играл ключевую роль в определении профиля жертвы и внедрения в систему других вредоносов. Причем отмечается, что аналогичным образом злоумышленники действовали и во время атаки на цепочку поставок, при взломе компании ЗСХ. Различные атаки с использованием LPEClient Как показал дальнейший анализ, малварь Lazarus неоднократно использовалось для атак на первоначальную жертву — неназванного поставщика программного обеспечения. Исследователи считают, что тот факт, что Lazarus несколько раз взломали одну и ту же жертву, указывает на то, что у злоумышленников была четкая цель, вероятно, заключающаяся в получении критически важных исходных кодов или нарушении цепочки поставок. Отчет гласит, что хакеры регулярно эксплуатировали уязвимости в программном обеспечении компаний и расширяли спектр мишеней, нацеливаясь на организации, использующие неисправленные версии софта для шифрования веб-коммуникаций. «Продолжающиеся атаки Lazarus — свидетельство того, что злоумышленники обладают серьезными техническими возможностями и сильной мотивацией. Они действуют по всему миру, целясь в разные организации из промышленного сектора, и используют для этого разнообразные методы. Угроза сохраняется и постоянно эволюционирует, что требует особой бдительности», — комментирует Сонгсу Парк (Seongsu Park), эксперт по кибербезопасности «Лаборатории Касперского».

запостил(а)

Лидия

Вернуться назад

Смотрите также

Группа Lazarus использует малварь ThreatNeedle против оборонных предприятий - «Новости»

Обновленная версия малвари MATA атакует предприятия в Восточной Европе - «Новости»

ФБР связало северокорейских хакеров со взломом Harmony и кражей 100 млн долларов - «Новости»

ФБР: северокорейская группировка Lazarus готовится обналичить 1580 биткоинов - «Новости»

А что там на главной? )))

Комментарии )))

Комментарии для сайта Cackle

« Апрель 2024 »
Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30