Lazarus неоднократно взламывала неназванного разработчика ПО - «Новости» » Интернет технологии
sitename
Microsoft отрицает, что Word и Excel собирают данные для обучения ИИ - «Новости»
Microsoft отрицает, что Word и Excel собирают данные для обучения ИИ - «Новости»
 Опенсорсный игровой движок Godot применяют для распространения малвари - «Новости»
Опенсорсный игровой движок Godot применяют для распространения малвари - «Новости»
 MEGANews. Самые важные события в мире инфосека за ноябрь - «Новости»
MEGANews. Самые важные события в мире инфосека за ноябрь - «Новости»
 Ботнет Matrix проводит DDoS-атаки через устройства IoT - «Новости»
Ботнет Matrix проводит DDoS-атаки через устройства IoT - «Новости»
 После требования РКН YouTube попросил российских пользователей удалить материалы о VPN - «Новости»
После требования РКН YouTube попросил российских пользователей удалить материалы о VPN - «Новости»
 Xiaomi представила Redmi K80 Pro — флагман для экономных со Snapdragon 8 Elite и ёмкой батареей - «Новости сети»
Xiaomi представила Redmi K80 Pro — флагман для экономных со Snapdragon 8 Elite и ёмкой батареей - «Новости сети»
 Производители консолей оказались в тупике: пользователи не хотят платить за производительность - «Новости сети»
Производители консолей оказались в тупике: пользователи не хотят платить за производительность - «Новости сети»
 Xiaomi представила беспроводные наушники Redmi Buds 6 Pro с тройными динамиками и радиусом подключения до 130 метров - «Новости сети»
Xiaomi представила беспроводные наушники Redmi Buds 6 Pro с тройными динамиками и радиусом подключения до 130 метров - «Новости сети»
 Nissan осталось жить всего год, если автопроизводитель не найдёт инвестора - «Новости сети»
Nissan осталось жить всего год, если автопроизводитель не найдёт инвестора - «Новости сети»
 Steam запустил осеннюю распродажу со скидками на «тысячи игр» - «Новости сети»
Steam запустил осеннюю распродажу со скидками на «тысячи игр» - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Lazarus неоднократно взламывала неназванного разработчика ПО - «Новости»

✔Lazarus неоднократно взламывала неназванного разработчика ПО - «Новости»

10 ноября 2023 594 Новости / Преимущества стилей / Вёрстка / Изображения / Текст 0

Специалисты «Лаборатории Касперского» выявили новую кампанию северокорейской хак-группы Lazarus — с использованием легитимного ПО, предназначенного для шифрования веб-коммуникаций с помощью цифровых сертификатов. В итоге был скомпрометирован неназванный поставщик программного обеспечения.


Исследователи отмечают, что уязвимости в неназванном легитимном ПО, которыми воспользовалась Lazarus, не были новыми. Однако, несмотря на неоднократные предупреждения разработчиков и выпущенные ими патчи, многие компании продолжали использовать уязвимый софт, что и позволяло злоумышленникам воспользоваться багам.


Сообщается, что для атак хакеры применяли сложные методы и «продвинутые техники обхода защитных средств», что в итоге вело к развертыванию малвари SIGNBT вместе с шелл-кодом, используемым для внедрения полезной нагрузки в память.





Для контроля над устройствами жертв злоумышленники в основном использовали малварь SIGNBT. Ее основная функция заключалась в установлении контакта с удаленным сервером хакеров и получении дальнейших команд для выполнения на зараженном хосте.


Также атакующие эксплуатировали уже известный инструмент LPEClient, который является инфостилером и загрузчиком вредоносного ПО. Ранее он был задействован в целевых атаках на подрядчиков оборонных предприятий, ядерных инженеров и криптовалютный сектор.


LPEClient играл ключевую роль в определении профиля жертвы и внедрения в систему других вредоносов. Причем отмечается, что аналогичным образом злоумышленники действовали и во время атаки на цепочку поставок, при взломе компании ЗСХ.



Различные атаки с использованием LPEClient

Как показал дальнейший анализ, малварь Lazarus неоднократно использовалось для атак на первоначальную жертву — неназванного поставщика программного обеспечения. Исследователи считают, что тот факт, что Lazarus несколько раз взломали одну и ту же жертву, указывает на то, что у злоумышленников была четкая цель, вероятно, заключающаяся в получении критически важных исходных кодов или нарушении цепочки поставок.


Отчет гласит, что хакеры регулярно эксплуатировали уязвимости в программном обеспечении компаний и расширяли спектр мишеней, нацеливаясь на организации, использующие неисправленные версии софта для шифрования веб-коммуникаций.


«Продолжающиеся атаки Lazarus — свидетельство того, что злоумышленники обладают серьезными техническими возможностями и сильной мотивацией. Они действуют по всему миру, целясь в разные организации из промышленного сектора, и используют для этого разнообразные методы. Угроза сохраняется и постоянно эволюционирует, что требует особой бдительности», — комментирует Сонгсу Парк (Seongsu Park), эксперт по кибербезопасности «Лаборатории Касперского».


Специалисты «Лаборатории Касперского» выявили новую кампанию северокорейской хак-группы Lazarus — с использованием легитимного ПО, предназначенного для шифрования веб-коммуникаций с помощью цифровых сертификатов. В итоге был скомпрометирован неназванный поставщик программного обеспечения. Исследователи отмечают, что уязвимости в неназванном легитимном ПО, которыми воспользовалась Lazarus, не были новыми. Однако, несмотря на неоднократные предупреждения разработчиков и выпущенные ими патчи, многие компании продолжали использовать уязвимый софт, что и позволяло злоумышленникам воспользоваться багам. Сообщается, что для атак хакеры применяли сложные методы и «продвинутые техники обхода защитных средств», что в итоге вело к развертыванию малвари SIGNBT вместе с шелл-кодом, используемым для внедрения полезной нагрузки в память. Для контроля над устройствами жертв злоумышленники в основном использовали малварь SIGNBT. Ее основная функция заключалась в установлении контакта с удаленным сервером хакеров и получении дальнейших команд для выполнения на зараженном хосте. Также атакующие эксплуатировали уже известный инструмент LPEClient, который является инфостилером и загрузчиком вредоносного ПО. Ранее он был задействован в целевых атаках на подрядчиков оборонных предприятий, ядерных инженеров и криптовалютный сектор. LPEClient играл ключевую роль в определении профиля жертвы и внедрения в систему других вредоносов. Причем отмечается, что аналогичным образом злоумышленники действовали и во время атаки на цепочку поставок, при взломе компании ЗСХ. Различные атаки с использованием LPEClient Как показал дальнейший анализ, малварь Lazarus неоднократно использовалось для атак на первоначальную жертву — неназванного поставщика программного обеспечения. Исследователи считают, что тот факт, что Lazarus несколько раз взломали одну и ту же жертву, указывает на то, что у злоумышленников была четкая цель, вероятно, заключающаяся в получении критически важных исходных кодов или нарушении цепочки поставок. Отчет гласит, что хакеры регулярно эксплуатировали уязвимости в программном обеспечении компаний и расширяли спектр мишеней, нацеливаясь на организации, использующие неисправленные версии софта для шифрования веб-коммуникаций. «Продолжающиеся атаки Lazarus — свидетельство того, что злоумышленники обладают серьезными техническими возможностями и сильной мотивацией. Они действуют по всему миру, целясь в разные организации из промышленного сектора, и используют для этого разнообразные методы. Угроза сохраняется и постоянно эволюционирует, что требует особой бдительности», — комментирует Сонгсу Парк (Seongsu Park), эксперт по кибербезопасности «Лаборатории Касперского».
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: