Лазарь Северной КореихакерОрганизации всегда былиинформационная безопасностьважная проблема в мире. Недавно появились предположения, что они стоят за новой кампанией атак. В ходе этой кампании неназванный поставщик программного обеспечения был скомпрометирован путем использования известных уязвимостей безопасности в известном программном обеспечении.
По словам Касперского, эти атаки в конечном итоге привели к развертыванию таких вредоносных программ, как SIGNBT и LPEClient — известных хакерских инструментов, используемых злоумышленниками для анализа жертв и доставки полезных данных.
Исследователь безопасности Сонсу Пак отметил, что атака показала высокую степень сложности: злоумышленник применил передовые методы уклонения и внедрил вредоносное ПО SIGNBT для контроля над жертвой. Вредоносное ПО SIGNBT использует разнообразные цепочки заражения и сложные методы.
По словам российских поставщиков услуг кибербезопасности, компания, разработавшая эксплуатируемое программное обеспечение, неоднократно становилась жертвой атак Lazarus. Это указывает на попытку украсть исходный код или заразить цепочку поставок программного обеспечения, аналогично предыдущим атакам на цепочку поставок 3CX.
Группа Lazarus продолжает использовать уязвимости в программном обеспечении компании и атаковать других производителей программного обеспечения. Говорят, что в ходе последней кампании были отмечены многочисленные жертвы.
По данным компании, жертвы были атакованы с помощью законного защитного программного обеспечения, предназначенного для шифрования сетевых коммуникаций с помощью цифровых сертификатов, но название программного обеспечения не разглашается. Точный механизм распространения вредоносного ПО SIGNBT до сих пор неясен.
Помимо использования различных тактик для установления и поддержания персистентности зараженных систем, цепочка атак также использует загрузчики памяти в качестве канала для запуска вредоносного ПО SIGNBT.
Основная функция вредоносного ПО SIGNBT — установление контакта с удаленным сервером и получение дальнейших команд для выполнения на зараженном хосте. Вредоносное ПО получает имя с использованием уникальных строк с префиксом «SIGNBT» в протоколах командования и управления (C2) на основе HTTP, например SIGNBTLG для первоначального подключения, SIGNBTKE для сбора системных метаданных, SIGNBTGC для получения команд, SIGNBTFI При сбое связи используется SIGNBTSR. для успешного общения.
Вредоносное ПО SIGNBT само по себе обладает множеством возможностей, которые можно использовать для получения контроля над системами-жертвами, включая перечисление процессов, манипулирование файлами и каталогами, а также развертывание полезных нагрузок, таких как LPEClient и других утилит для сброса учетных данных.
В Касперском заявили, что в 2023 году они обнаружили как минимум три разные кампании Lazarus, использующие разные векторы вторжений и процедуры заражения, но всегда полагающиеся на вредоносное ПО LPEClient для доставки финальной стадии вредоносного ПО.
Один из имплантатов кампании под кодовым названием Gopuram проложил путь кибератакам на криптовалютные компании, используя троянизированную версию программного обеспечения для голосовых и видеоконференций 3CX.
Эти последние открытия являются лишь последними примерами киберопераций, связанных с Северной Кореей, и демонстрируют, что группа Lazarus продолжает развиваться и расширять свой арсенал инструментов, тактик и методов.
Группа Lazarus была очень активным и универсальным субъектом угроз и остается серьезной проблемой в современной сфере кибербезопасности. Они постоянно совершенствуют свои методы атак и находят новые цели и уязвимости для использования. Помимо атак на поставщиков программного обеспечения, группа Lazarus также участвует в других сферах, таких как финансовые учреждения и биржи криптовалют. Они используют различные тактики, включая социальную инженерию, фишинговые электронные письма и распространение вредоносного ПО, для кражи конфиденциальной информации, кражи средств и ведения шпионажа.
Мероприятия, организованные Лазарусом, связаны с правительством Северной Кореи. Считается, что они являются уполномоченными органами правительства Северной Кореи, предоставляющими правительству возможности кибератак и помогающими правительству достичь своих политических и экономических целей. Они действуют в течение последних нескольких лет и вызывают серьезную озабоченность сообщества кибербезопасности.
Чтобы защитить себя от атак такого типа, поставщики программного обеспечения и другие потенциальные цели должны принять ряд мер безопасности. Это включает в себя регулярное обновление и исправление дыр в безопасности программного обеспечения, внедрение надежных механизмов аутентификации и контроля доступа, обучение сотрудников передовым методам кибербезопасности и использование передовых систем обнаружения и предотвращения вторжений.
Кроме того, пользователи также должны сохранять бдительность и избегать перехода по ссылкам из подозрительных или неизвестных источников, не загружать вложения из неизвестных источников, регулярно обновлять и поддерживать свои операционные системы и приложения, а также использовать надежное защитное программное обеспечение для защиты своих устройств от вредоносных программ.
В целом деятельность группы Lazarus демонстрирует продолжающуюся эволюцию и эскалацию киберугроз. Перед лицом этих угроз решающее значение имеют постоянная осведомленность о безопасности и комплексные защитные меры.
Оригинал статьи, автор: Chief Security Assessment, при перепечатке указать источник: https://cncso.com/ru/lazarus-group-attacks-software-suppliers-with-known-vulnerabilities.html
![[Предупреждение об уязвимости] Несанкционированная уязвимость в интерфейсе API частной версии Enterprise WeChat.](https://cncso.com/wp-content/themes/justnews/themer/assets/images/lazy.png)
