Исследовательская организация по безопасности Cisco Talos недавно раскрыла печально известную группу киберугроз, связанную с Северной Кореей.Лазарь Группа». Эта операция получила название «Операция Кузнец» и характеризовалась применениемУязвимость Log4j(CVE-2021-44228, также известен какЖурнал4Shell) для развертывания ранее неизвестного трояна удаленного доступа (RAT) в целевой системе.
Talos的安全专家Jung soo An、Asheer Malhotra和Vitor Ventura透露,Lazarus Group运用三种基于DLang语言的恶意软件系列执行攻击,包括使用Telegram作为命令和控制(C2)通道的NineRAT RAT、DLRAT和一种名为BottomLoader的下载器。
В техническом отчете указывалось, что новая тактика, принятая в этой операции, во многом совпадает с моделями поведения Андариэль, субкластера Лазаря (также известного как Ониксовый Слякот или Тихая Чоллима). Андариэль обычно фокусируется на первоначальном доступе, разведке и обеспечении долгосрочного доступа для поддержки стратегических интересов правительства Северной Кореи.
Целевая цепочка атак в основном сосредоточена в сферах производства, сельского хозяйства и физической безопасности посредством атак на общедоступные серверы VMWare Horizon. С момента своей первой разработки в мае 2022 года NineRAT использовался в многочисленных атаках, в том числе были совершены атаки на Юг. Американские сельскохозяйственные организации в марте этого года и нападения на европейские производственные предприятия в сентябре.
Данные показывают, что даже после двух лет публичного раскрытия приложения 2.8% по-прежнему используют версию Log4j с уязвимостями безопасности, тогда как приложение 3.8% использует версию Log4j 2.17.0, которая невосприимчива к атаке CVE-2021-44228. CVE-2021-44832.
После успешного заражения NineRAT выполняет еще одну проверку системы через связь C2 на основе Telegram, что указывает на то, что данные, собранные Lazarus через NineRAT, могут быть переданы другим группам APT и храниться отдельно от первоначально собранных данных.
В отчете также указано, что в атаке использовался специальный прокси-инструмент HazyLoad для использования критической уязвимости безопасности в JetBrains TeamCity (CVE-2023-42793, оценка CVSS 9,8). HazyLoad обычно загружается и выполняется с помощью вредоносного ПО BottomLoader.
Кроме того, операция «Кузнец» также включала развертывание DLRAT, который является не только загрузчиком, но и RAT, который может выполнять разведку системы, развертывать другие вредоносные программы, получать команды C2 и выполнять их в зараженной системе.
С другой стороны, Южнокорейский центр реагирования на чрезвычайные ситуации в сфере безопасности (ASEC) опубликовал отчет с подробным описанием другой северокорейской APT-группы Kimsuky (также известной как APT43, АРХИПЕЛАГО, Black Banshee, Emerald Sleet, Nickel Kimball и Velvet), связанной с Лазарусом Чоллимой). группа проводит целевые фишинговые атаки с использованием ложных вложений и ссылок.
Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://www.cncso.com/ru/lazarus-group-exploits-log4j-vulnerability.html.
