Связанная с Северной Кореей Lazarus атакует атомную промышленность новым вредоносным ПО
Кибергруппа использует сложные схемы заражения и ранее неизвестное вредоносное ПО.
Что произошло
Эксперты Kaspersky GReAT зафиксировали новую волну атак Operation DreamJob, проводимых хакерской группой Lazarus.
Детали
В последней атаке использовалась популярная платформа для поиска работы, через которую атакующие распространяли инструкции для получения доступа к целевым системам. Основным инструментом взлома стала сложная цепочка заражения с использованием загрузчиков, бэкдоров (скрытых программ или методов, позволяющих злоумышленникам получить несанкционированный доступ к системе) и троянских программ.
"Последняя зафиксированная волна атак была нацелена на сотрудников атомной отрасли в Бразилии. Они получили файловые архивы под видом тестов на оценку навыков претендентов на IT-позиции. Похоже, что атакующие использовали популярную платформу для поиска работы, чтобы распространить первоначальные инструкции и получить доступ к целевым системам", – говорится в сообщении.
Как работает новая схема заражения
Атака разворачивалась в несколько этапов:
- Использование троянской программы AmazonVNC.exe, расшифровывающей загрузчик Ranid Downloader.
- Ranid Downloader извлекал и активировал вредоносные ресурсы, включая файл vnclang.dll, который загружал дополнительное ПО, такое как MISTPEN и RollMid.
- Впервые выявленный бэкдор CookiePlus, маскирующийся под плагин (расширение, добавляющее новые функции программе) Notepad++, собирал данные о системе и откладывал выполнение вредоносных действий для уклонения от обнаружения.
Чем опасен CookiePlus
CookiePlus собирает ключевую информацию о системе, манипулирует системными процессами и может скрывать своё присутствие в системе длительное время. Эксперты отмечают, что такой подход затрудняет выявление угрозы и повышает вероятность нанесения значительного ущерба.
Комментарии
"Эта кампания кибершпионажа весьма опасна. Способность вредоносного ПО откладывать свои действия позволяет ему избегать обнаружения в момент проникновения в систему и дольше находиться в ней. Кроме того, зловред умеет манипулировать системными процессами, что затрудняет его выявление и может привести к дальнейшему повреждению или злонамеренной эксплуатации системы", – отметил ведущий эксперт Kaspersky GReAT Василий Бердников.
Lazarus и их следы
Группа Lazarus известна своими связями с Северной Кореей и причастностью к множеству кибератак, включая взлом Sony Pictures в 2014 году и распространение вируса WannaCry в 2017 году. В 2022 году они похитили 620 млн долларов у NFT-игры Axie Infinity, атаковав кроссчейн-мост Ronin.
О Kaspersky GReAT
Глобальный центр исследования и анализа угроз Kaspersky GReAT с 2008 года занимается изучением сложных атак, методов заражения и уязвимостей.
–––
Читайте также:
–––
