Компания ESET – лидер в области информационной безопасности – обнаружила новую активность APT-группы Lazarus, направленную на подрядчиков в области обороны с конца 2021 года по март 2022 года. Согласно данным телеметрии ESET, киберпреступники нацеливались на компании в Европе, в частности, Франции, Италии, Германии, Нидерландах, Польше и Украине, а также Латинской Америке.
Несмотря на то, что основной целью вредоносной активности был кибершпионаж, злоумышленники также пытались похищать средства, однако эта деятельность была безуспешна.
«Группа киберпреступников Lazarus проявила изобретательность, развернув изощренный набор инструментов, в частности компонент режима пользователя, способный использовать уязвимый драйвер Dell для записи в память ядра. Этот метод был использован в попытке обойти проверку решениями по безопасности», ― рассказывает Жан-Ян Бутин, руководитель исследовательской лаборатории ESET.
Еще в 2020 году исследователи ESET зафиксировали активность подгруппы Lazarus, направленную на европейских подрядчиков в оборонной и аэрокосмической отраслях. Тогда киберпреступники использовали социальные сети, особенно LinkedIn, чтобы завоевать доверие сотрудников, прежде чем отправлять им вредоносные компоненты, замаскированные под должностные инструкции или программы. В тот момент целями атак стали компании в Бразилии, Чехии, Катаре, Турции и Украине.
Первоначально исследователи ESET считали, что активность в основном направлена на европейские компании. Однако после отслеживания активности ряда подгрупп Lazarus, нацеленных на подрядчиков в оборонной отрасли, стало ясно, что их деятельность гораздо шире. Хотя вредоносное программное обеспечение отличалось, начальный вектор всегда оставался неизменным. В частности, фальшивый рекрутер связывался с сотрудником через LinkedIn и в конце концов присылал вредоносные компоненты.
Кроме того, исследователи ESET также зафиксировали повторное использование элементов настоящей кампании по найму, чтобы добавить их фальшивым предложениям убедительности. Кроме того, в своей вредоносной активности злоумышленники использовали такие сервисы, как WhatsApp или Slack.
В 2021 году Министерство юстиции США предъявило обвинение трем ИТ-программистам в атаках, поскольку они работали на северокорейские вооруженные силы. По данным правительства США, они принадлежали к северокорейскому военному хакерскому подразделению, известному в сообществе специалистов по кибербезопасности как Lazarus Group.
В связи с опасностью дальнейших атак на украинских пользователей специалисты ESET рекомендуют соблюдать основные правила кибербезопасности, в частности, использовать надежные пароли и двухфакторную аутентификацию, своевременно обновлять программное обеспечение и обеспечить многоуровневую защиту своих устройств от современных векторов атак.
В случае обнаружения вредосной деятельности в своих IT-системах украинские пользователи продуктов ESET могут обратиться за помощью в круглосуточную службу технической поддержки по телефону +380 44 545 77 26 или по электронному адресу support@eset.ua.