Связанная с Северной Кореей Lazarus атакует атомную промышленность новым вредоносным ПО

25.12.2024

Иллюстрация сгенерирована нейросетью

Кибергруппа использует сложные схемы заражения и ранее неизвестное вредоносное ПО.

Что произошло

Эксперты Kaspersky GReAT зафиксировали новую волну атак Operation DreamJob, проводимых хакерской группой Lazarus.

Детали

В последней атаке использовалась популярная платформа для поиска работы, через которую атакующие распространяли инструкции для получения доступа к целевым системам. Основным инструментом взлома стала сложная цепочка заражения с использованием загрузчиков, бэкдоров (скрытых программ или методов, позволяющих злоумышленникам получить несанкционированный доступ к системе) и троянских программ.

"Последняя зафиксированная волна атак была нацелена на сотрудников атомной отрасли в Бразилии. Они получили файловые архивы под видом тестов на оценку навыков претендентов на IT-позиции. Похоже, что атакующие использовали популярную платформу для поиска работы, чтобы распространить первоначальные инструкции и получить доступ к целевым системам", – говорится в сообщении.

Как работает новая схема заражения

Атака разворачивалась в несколько этапов:

Использование троянской программы AmazonVNC.exe, расшифровывающей загрузчик Ranid Downloader.
Ranid Downloader извлекал и активировал вредоносные ресурсы, включая файл vnclang.dll, который загружал дополнительное ПО, такое как MISTPEN и RollMid.
Впервые выявленный бэкдор CookiePlus, маскирующийся под плагин (расширение, добавляющее новые функции программе) Notepad++, собирал данные о системе и откладывал выполнение вредоносных действий для уклонения от обнаружения.

Чем опасен CookiePlus

CookiePlus собирает ключевую информацию о системе, манипулирует системными процессами и может скрывать своё присутствие в системе длительное время. Эксперты отмечают, что такой подход затрудняет выявление угрозы и повышает вероятность нанесения значительного ущерба.

"Эта кампания кибершпионажа весьма опасна. Способность вредоносного ПО откладывать свои действия позволяет ему избегать обнаружения в момент проникновения в систему и дольше находиться в ней. Кроме того, зловред умеет манипулировать системными процессами, что затрудняет его выявление и может привести к дальнейшему повреждению или злонамеренной эксплуатации системы", – отметил ведущий эксперт Kaspersky GReAT Василий Бердников.

Lazarus и их следы

Группа Lazarus известна своими связями с Северной Кореей и причастностью к множеству кибератак, включая взлом Sony Pictures в 2014 году и распространение вируса WannaCry в 2017 году. В 2022 году они похитили 620 млн долларов у NFT-игры Axie Infinity, атаковав кроссчейн-мост Ronin.