Предложение работы или мошенничество: новые атаки группы Lazarus

Компания ESET — лидер в области информационной безопасности — обнаружила и проанализировала набор вредоносных инструментов, которые использовались известной APT-группой Lazarus в конце 2021 года. Атаки начинались с фишинговых сообщений с опасными документами, а главной целью злоумышленников был перехват данных.

Целями киберпреступников стали сотрудник аэрокосмической компании в Нидерландах и политический журналист в Бельгии. Обоим жертвам отправили предложения о работе: первый получил вложение в сообщениях LinkedIn, а второй — на электронную почту соответственно. Атаки начались после открытия этих документов. Злоумышленники развернули в системе несколько вредоносных инструментов, в частности дроперы, загрузчики, полнофункциональные бэкдоры HTTP(S) и загрузчики HTTP(S).

Фишинговое сообщение с опасными документами. ESET.

Рис.1. Документ, отправленный пользователю в Нидерландах.

Самым заметным инструментом был модуль пользовательского режима, который позволял злоумышленникам читать и записывать память ядра через уязвимость CVE-2021-21551 в легитимном драйвере Dell. Использование этой уязвимости киберпреступниками было зафиксировано впервые. Стоит отметить, что в мае 2021 года Dell выпустила обновление системы безопасности.

«Злоумышленники использовали доступ к записи в память ядра, чтобы отключить 7 механизмов, которые операционная система Windows применяет для мониторинга своих действий, таких как реестр, файловая система, создание процессов, отслеживание событий и другие. Таким общим и надежным способом хакерам удалось обойти решение по безопасности, — объясняет Питер Калнаи, исследователь ESET. — Это было сделано не только в пространстве ядра, но и с использованием ряда малоизвестных компонентов Windows. Несомненно, это требовало глубоких исследований, разработок и навыков тестирования».

Группа Lazarus также использовала полнофункциональный бэкдор HTTP(S), известный как BLINDINGCAN. Исследователи ESET считают, что этот троян удаленного доступа (RAT) имеет сложный серверный контроллер с удобным интерфейсом, с помощью которого злоумышленники могут контролировать и исследовать скомпрометированные системы. Более двух десятков доступных команд включают загрузку, перезапись и удаление файлов, а также создание снимков экрана.

В Нидерландах атака была направлена ​​на компьютер на базе Windows 10, подключенный к корпоративной сети. Файл Word с названием «Amzon_Netherlands.docx», отправленный жертве в электронном письме, является лишь макетом документа с логотипом Amazon.

Исследователям ESET не удалось получить удаленный шаблон, но, вероятно, он мог содержать предложение о работе для космической программы Amazon Project Kuiper. Это метод, который киберпреступники применяли в кампаниях Operation In(ter)ception и Operation DreamJob, нацеленных на аэрокосмическую и оборонную отрасль.

«В этой, а также во многих других атаках группы Lazarus, многие инструменты были распределены даже для одной целевой рабочей станции в сети, которая представляла интерес для злоумышленников. Без сомнения, группа, ответственная за атаку, достаточно большая, систематически организованная и хорошо подготовленная», — комментирует исследователь ESET.

Специалисты ESET с высокой достоверностью приписывают эти атаки группе Lazarus. Разнообразие, количество и оригинальность в реализации атак, а также осуществление кибершпионажа, киберсаботажа и получение финансовой выгоды указывают на эту группу. Стоит отметить, что группа Lazarus, также известная как HIDDEN COBRA, действует, по крайней мере, с 2009 года и ответственна за несколько известных инцидентов.

Персонал крупных компаний часто становится целью киберпреступников, которые используют изощренные методы, чтобы заманить сотрудника в ловушку и получить доступ к корпоративной сети. Именно поэтому следует позаботиться об осведомленности работников относительно правил кибербезопасности, в частности, предупредить об опасности открытия неизвестных писем и документов в корпоративной сети. Кроме того, организациям следует обеспечить всестороннюю защиту рабочих станций, расширенный анализ угроз, выявление и реагирование, а также предотвращение потери конфиденциальных данных.

В случае обнаружения вредоносной деятельности в собственных IT-системах украинские пользователи продуктов ESET могут обратиться за помощью в круглосуточную службу технической поддержки по телефону +380 44 545 77 26 или по электронному адресу support@eset.ua.

 

Читайте также:

Схемы мошенничества в LinkedIn: остерегайтесь ложных предложений о работе

Как хакеры могут взломать вашу почту и что делать для ее защиты

Как усилить кибербезопасность компании в условиях постоянных атак — 6 простых шагов