Поделиться
Новые атаки Lazarus: злоумышленники заражали компании через новостные сайты и финансовое ПО
Эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») выявили новую сложную целевую кампанию группы Lazarus. Злоумышленники атаковали организации в Южной Корее, используя сочетание двух основных методов: сначала они заражали системы через легитимные новостные сайты (тактика watering hole), а затем эксплуатировали уязвимость в широко используемом южнокорейском ПО для передачи файлов Innorix Agent. Кампания получила название Операция SyncHole. Об этом CNews сообщили представители «Лаборатории Касперского».
Атакам подверглись как минимум шесть компаний из Южной Кореи — в сферах программного обеспечения, ИТ, финансов, производства полупроводников и телекоммуникаций. При этом количество жертв может быть больше. Программное обеспечение, использованное в этой кампании, обновлено, уязвимости устранены.
В ходе анализа кампании Операция SyncHole эксперты Kaspersky GReAT также обнаружили в Innorix Agent еще одну уязвимость нулевого дня, которой не успели воспользоваться злоумышленники. Брешь потенциально давала возможность осуществлять загрузку произвольных файлов в Innorix Agent. «Лаборатория Касперского» оперативно сообщила о проблемах Агентству по интернету и кибербезопасности Южной Кореи (KrCERT/CC), а также вендору. После были выпущены необходимые обновления, а найденной уязвимости присвоен идентификатор KVE-2025-0014.
С чего начинались атаки. Группа Lazarus использовала в качестве приманки зараженные новостные сайты, которые посещает большое количество человек (данная техника называется watering hole). Чтобы отобрать среди них интересующих злоумышленников пользователей, атакующие фильтровали трафик с помощью скрипта на стороне сервера и выборочно перенаправляли посетителей на подконтрольные сайты. После, в результате ряда технических действий, запускалась цепочка заражения.
Использование уязвимости в южнокорейском ПО. На ранних этапах атаки злоумышленники эксплуатировали уязвимость первого дня (уязвимость, для которой уже выпустили исправление, но многие пользователи пока его не установили) в Innorix Agent — это обязательное программное обеспечение для выполнения ряда финансовых и административных операций на южнокорейских сайтах. Расчет атакующих заключался в следующем: это ПО установлено на множестве корпоративных и частных компьютеров в Южной Корее, и любой пользователь с уязвимой версией может стать потенциальной жертвой. Эксплуатируя уязвимость в Innorix Agent, злоумышленники смогли продвигаться по внутренней сети после проникновения в нее, а затем установить дополнительные вредоносные программы на целевой хост. В результате группа Lazarus смогла запустить свои зловреды, в том числе бэкдор ThreatNeedle и загрузчик LPEClient, которые существенно расширили возможности злоумышленников во внутренних сетях организаций.
Как обнаружили атаки. Еще до того, как в Innorix Agent были обнаружены уязвимости, эксперты «Лаборатории Касперского» зафиксировали использование ThreatNeedle и SIGNBT в корпоративной сети одной из южнокорейских компаний. Вредоносное ПО было запущено в памяти легитимного процесса SyncHost.exe. Зловред работал как подпроцесс Cross EX, легитимного южнокорейского программного обеспечения, которое помогает обеспечивать работу защитных инструментов в различных браузерных средах.
Анализ показал, что похожий способ использовался для атак еще на пять организаций в Южной Корее. В каждом случае цепочка заражения, предположительно, запускалась за счет некой уязвимости в Cross EX. Можно предположить, что именно это и стало отправной точкой заражения в рамках всей кампании. Недавно KrCERT опубликовал уведомление о безопасности, подтверждающее наличие уязвимости в Cross EX, которая позднее была устранена.
«В кибербезопасности важен проактивный подход: углубленный анализ атаки позволил нам выявить еще одну уязвимость — причем до того, как появились признаки ее активного использования злоумышленниками. Раннее обнаружение подобных угроз помогает предотвратить масштабную компрометацию систем», — сказал Суджон Рю (Sojun Ryu), эксперт Kaspersky GReAT.
«Анализ атак указывает на серьезную проблему в области кибербезопасности: использование сторонних плагинов для браузеров и вспомогательных инструментов значительно повышает вероятность атаки, особенно в инфраструктурах, где применяется устаревшее ПО или софт с региональной спецификой. Такие компоненты часто используют в работе повышенные привилегии, остаются в памяти и тесно взаимодействуют с процессами браузера, что делает их привлекательной и зачастую более легкой мишенью для злоумышленников, чем современные браузеры», — отметил Игорь Кузнецов, директор Kaspersky GReAT.
Чтобы защититься от целевых атак Lazarus или других групп, «Лаборатория Касперского» рекомендует организациям: регулярно обновлять программное обеспечение на всех устройствах, чтобы предотвращать проникновение злоумышленников во внутреннюю сеть с использованием уязвимостей; проводить аудит безопасности сетей и активов, чтобы вовремя обнаруживать и устранять слабые места внутри периметра или сети организации; использовать комплексное решение для обеспечения кибербезопасности; предоставлять ИБ-специалистам доступ к свежей информации о киберугрозах, с которыми может столкнуться организация.
Поделиться
Короткая ссылка
