Государственные хакеры Северной Кореи начали атаковать цепочку поставок ИТ

29
Банды, занимающиеся распространением вымогательского ПО, больше полагаются на использование уязвимостей

Спонсируемая Северной Кореей хакерская группа Lazarus переключила свое внимание на новые цели, и исследователи Kaspersky по безопасности наблюдали, как расширяют свои возможности атак на цепочку поставок.

Lazarus использовал новый вариант бэкдора BLINDINGCAN для нападения на южнокорейский аналитический центр в июне после его развертывания для взлома латвийского ИТ-поставщика в мае.

«В первом случае, обнаруженном исследователями« Лаборатории Касперского », Lazarus разработал цепочку заражения, которая возникла из-за того, что законное южнокорейское программное обеспечение безопасности развертывало вредоносную нагрузку», — заявили исследователи.

«Во втором случае целью была компания, разрабатывающая решения для мониторинга активов в Латвии, нетипичная жертва для Lazarus».

Бэкдор, использованный в этих атаках, был впервые идентифицирован CISA и ФБР . Они обнаружили, что он может удалить себя из скомпрометированных систем, чтобы избежать обнаружения, эксфильтровать данные, порождать и уничтожать процессы, а также изменять временные метки файлов и папок.

Согласно отчету Kaspersky о тенденциях APT в третьем квартале 2021 года, Lazarus также доставил троян удаленного доступа (RAT) COPPERHEDGE, используя бэкдор BLINDINGCAN .

Тот же RAT также использовался Lazarus при нацеливании на криптовалютные биржи и связанные с ними объекты в прошлом.

Эта вредоносная программа известна тем, что помогает операторам выполнять задачи по разведке системы, запускать произвольные команды на зараженных устройствах и извлекать украденные данные.

Старое вредоносное ПО, перепрофилированное для кибершпионажа

Lazarus Group (также отслеживаются как СКРЫТОМ COBRA с помощью разведывательного сообщества США) является военным хакерство группа при поддержке Корейской Народно-Демократической Республики и действует с 2009 года, по крайней мере.

Они известны тем, что нацелены на крупные организации, такие как Sony Films in Operation Blockbuster и несколько банков по всему миру, а также за координацию глобальной кампании по вымогательству WannaCry в 2017 году.

Совсем недавно Google обнаружил Lazarus в январе во время атак социальной инженерии, нацеленных на исследователей безопасности с использованием тщательно продуманных псевдонимов «исследователей безопасности» в социальных сетях и в аналогичной кампании в марте.

В том же месяце они также использовали ранее недокументированный бэкдор под названием ThreatNeedle в крупномасштабной кампании кибершпионажа, нацеленной на оборонную промышленность более чем десятка стран.

В июне исследователи «Лаборатории Касперского» также увидели, как Lazarus развернул свою вредоносную среду MATA для целей кибершпионажа.

MATA может нацеливаться на Windows, Linux и macOS, и Lazarus ранее использовал его в 2020 году для кражи данных при атаках программ-вымогателей .

«Эти недавние события подчеркивают две вещи: Lazarus по-прежнему интересуется оборонной промышленностью и также стремится расширить свои возможности с помощью атак на цепочки поставок», — сказал Ариэль Юнгейт, старший исследователь безопасности в Kaspersky.

«При успешном проведении атаки на цепочки поставок могут привести к разрушительным результатам, затрагивая гораздо больше, чем одну организацию — что мы ясно видели при атаке SolarWinds в прошлом году».

Министерство финансов США санкция три КНДР спонсируемый хакерских групп (Lazarus, Bluenoroff и Andariel) в сентябре 2019 года.

Правительство США также предлагает вознаграждение в размере до 5 миллионов долларов за информацию о кибер-активности хакеров в КНДР, чтобы помешать их деятельности или выявить северокорейских террористов.

Последнее обновление 10 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии