Поделиться
Хакера Lazarus добавили в свой арсенал новый бэкдор и атакуют им управленцев
Кибершпионы Северной Кореи начали использовать ранее не задокументированный бэкдор в ходе атак на энергетический и аэрокосмический секторы. Основной целью являются высокопоставленные управленцы.
Матрешка по-корейски
Эксперты, отслеживающие деятельность северокорейских кибергруппировок, отмечают появление нового бэкдора, который используется в атаках на энергетический сектор и аэрокосмическую отрасль западных стран. По данным фирмы Mandiant, речь идет о программе MISTPEN, которая сама по себе является троянизированным плагином к гиперпопулярному редактору Notepad++. Бэкдор скрывается в файле binhex.dll.
Хакеры используют этот бэкдор в рамках текущей масштабной кампании, условно именуемой Operation Dream Job («Операция «Работа мечты»), в ходе которой злоумышленники пытаются заразить системы профессионалов и управленцев из интересующих их сфер вредоносными программами для кражи данных.
Эту кампанию осуществляет объединение UNC2970, которое, по данным Mandiant, входит в более масштабный коллектив, обозначаемый как TEMP.Hermit. Другие фирмы называют его Lazarus Group, и это самое расхожее наименование. В конечном счете, речь идет о киберподразделении Главного разведывательного управления КНДР.
В последние месяцы корейские кибершпионы активно выдают себя за рекрутеров, заинтересованных в профессионалах из разных сфер. Они нередко используют реальные и абсолютно легитимные объявления о найме, модифицируя их под нужных им кандидатов.
«Директору на стол!»
Как указывается в публикации Mandiant, в рамках текущей кампании целью становятся управленцы среднего и высшего звена. Это означает, что хакеры охотятся за какой-то крайне конфиденциальной информацией, которой могут обладать только ответственные лица.
Атаки начинаются с спиэр-фишинговых сообщений по почте или через WhatsApp с целью выстроить доверительные коммуникации, и когда потенциальная жертва достаточно «разогрета», ей переправляется ZIP-архив, якобы содержащий описание рабочих функций.
Описание там действительно содержится, причем в виде файла PDF. Но открыть его можно только с помощью троянизированной версии легитимного средства просмотра Sumatra PDF Reader, который также присутствует в пересланном архиве. В этот просмотрщик встроено средство запуска вредоносов BURNBOOK, которая, в свою очередь, запускает вредоносную DLL-библиотеку TEARPAGE (файл wtsapi32.dll), и уже только этот DLL расшировывает и активирует бэкдор MISTPEN (binhex.dll).
Что характерно, notepad32, плагином для которого является файл binhex.dll, в атаке не фигурирует вовсе.
Эволюционирующий бэкдор
MISTPEN, который в Mandiant называют «легким имплантом, написанном на C», скачивает с контрольного сервера и запускает файлы PE (portable executable), очевидно используемые для осуществления ключевых операций. Вся связь с контрольным сервером осуществляется через протокол HTTP с использованием URL-адресов Microsoft Graph.
Эксперты Mandiant смогли обнаружить старые артефакты BURNBOOK и MISTPEN. Выяснилось, что ранее MISTPEN использовал в качестве командных адресов скомпрометированные сайты под управлением WordPress. «Операторы кампании с течением времени совершенствуют свои разработки, добавляя новые функции, а также средства проверки соединений, чтобы затруднить анализ сэмплов», – говорится в анализе исследователей.
«Группировка Lazarus и все аффилированные с ней «игроки» ведут свои кампании с потрясающим размахом, истинные масштабы которого едва ли удастся оценить в ближайшей перспективе, – говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. – Подготовленность потенциальных жертв к их разнообразным атакам, похоже, является единственным ограничителем».
По словам эксперта, за деятельностью Lazarus следят многочисленные команды специалистов по информационной безопасности, но те продолжают свою деятельность, постоянно совершенствуя свой инструментарий и повышая его скрытность.
В последнее время Lazarus стали использовать троянизированные инсталляторы множества опенсорсных программ, в том числе, PuTTY, KiTTY, TightVNC, Sumatra PDF Reader, и muPDF/Subliminal Recording.
По данным Mandiant, среди жертв северокорейских хакеров оказались компании, функционирующие на территории США, Великобритании, Нидерландов, Кипра, Швеции, Германии, Сингапура, Гонконга и Австралии. Реальный охват может быть куда шире.
Поделиться
Короткая ссылка
