Компанія ESET — лідер у галузі інформаційної безпеки — виявила та проаналізувала набір шкідливих інструментів, які використовувалися відомою APT-групою Lazarus наприкінці 2021 року. Атаки починалися з фішингових повідомлень із небезпечними документами, а головною метою зловмисників було перехоплення даних.
Цілями кіберзлочинців стали співробітник аерокосмічної компанії у Нідерландах та політичний журналіст у Бельгії. Обом жертвам надіслали пропозиції про роботу: перший отримав вкладення у повідомленнях LinkedIn, а другий — електронною поштою відповідно. Атаки почалися після відкриття цих документів. Зловмисники розгорнули в системі кілька шкідливих інструментів, зокрема дропери, завантажувачі, повнофункціональні бекдори HTTP(S) та завантажувачі HTTP(S).
Найпомітнішим інструментом був модуль режиму користувача, який дозволяв зловмисникам читати та записувати пам’ять ядра через уразливість CVE-2021-21551 у легітимному драйвері Dell. Використання цієї уразливості кіберзлочинцями було зафіксовано вперше. Варто зазначити, що у травні 2021 року компанія Dell випустила оновлення системи безпеки.
«Зловмисники використали доступ до запису в пам’ять ядра, щоб вимкнути 7 механізмів, які операційна система Windows застосовує для моніторингу своїх дій, таких як реєстр, файлова система, створення процесів, відстеження подій тощо. Таким дуже загальним та надійним способом хакерам вдалося обійти рішення з безпеки, — пояснює Пітер Калнаї, дослідник ESET. — Це було зроблено не лише в просторі ядра, але й з використанням ряду маловідомих компонентів Windows. Безсумнівно, це вимагало глибоких досліджень, розробки та навичок тестування».
Група Lazarus також використовувала повнофункціональний бекдор HTTP(S), відомий як BLINDINGCAN. Дослідники ESET вважають, що цей троян віддаленого доступу (RAT) має складний серверний контролер із зручним інтерфейсом, за допомогою якого зловмисники можуть контролювати та досліджувати скомпрометовані системи. Більше двох десятків доступних команд включають завантаження, перезапис та видалення файлів, а також створення знімків екрана.
У Нідерландах атака була спрямована на комп’ютер на базі Windows 10, підключений до корпоративної мережі. Файл Word з назвою «Amzon_Netherlands.docx», який було надіслано жертві в електронному листі, є лише макетом документа з логотипом Amazon.
Дослідникам ESET не вдалося отримати віддалений шаблон, але, ймовірно, він міг містити пропозицію про роботу для космічної програми Amazon Project Kuiper. Це метод, який кіберзлочинці застосовували у кампаніях Operation In(ter)ception та Operation DreamJob, спрямованих на аерокосмічну та оборонну галузь.
«У цій, а також у багатьох інших атаках групи Lazarus багато інструментів було розподілено навіть для однієї цільової робочої станції в мережі, яка представляє інтерес для зловмисників. Без сумніву, група, яка відповідальна за атаку, є досить великою, систематично організованою та добре підготовленою», – коментує дослідник ESET.
Спеціалісти ESET з високою достовірністю приписують ці атаки групі Lazarus. Різноманітність, кількість та оригінальність у реалізації атак, а також здійснення кібершпигунства, кіберсаботажу та отримання фінансової вигоди вказують на цю групу. Варто зазначити, що група Lazarus, також відома як HIDDEN COBRA, діє принаймні з 2009 року та відповідальна за кілька відомих інцидентів.
Персонал великих компаній часто стає ціллю кіберзлочинців, які використовують витончені методи, щоб заманити співробітника у пастку та отримати доступ до корпоративної мережі. Саме тому варто подбати про обізнаність працівників щодо правил кібербезпеки, зокрема попередити про небезпеку відкриття невідомих листів та документів у корпоративній мережі. Крім того, організаціям слід забезпечити всебічний захист робочих станцій, розширений аналіз загроз, виявлення та реагування, а також запобігання втраті конфіденційних даних.
У разі виявлення шкідливої діяльності у власних IT-системах українські користувачі продуктів ESET можуть звернутися за допомогою до цілодобової служби технічної підтримки за телефоном +380 44 545 77 26 або електронною адресою support@eset.ua.
Читайте також:
Схеми шахрайства в LinkedIn: остерігайтеся фальшивих пропозицій про роботу
Як хакери можуть зламати вашу пошту та що робити для її захисту
Як посилити кібербезпеку компанії в умовах постійних атак ― 6 простих кроків