СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
25.04.2025
#Dev#ИБ#Инфра

Атаки группы Lazarus: угроза кибербезопасности Южной Кореи

Атаки группы Lazarus: угроза кибербезопасности Южной Кореи

Источник: securelist.com

Группа Lazarus проводит целенаправленные атаки под кодовым названием Operation SyncHole, нацеленные на различные сектора экономики Южной Кореи. С начала ноября 2024 года злоумышленники выявляют уязвимости в программном обеспечении местной разработки, что упрощает их задачи по компрометации систем.

Многогранная стратегия атак

Стратегия группы сочетает атаки, использующие уязвимости в программном обеспечении, таких как Innorix Agent и Cross EX. Атаки затрагивают, как минимум, шесть организаций в следующих отраслях:

  • Информационные технологии
  • Финансы
  • Телекоммуникации
  • Полупроводники

Технические детали атак

Первоначальное проникновение было достигнуто с помощью бэкдора ThreatNeedle, использовавшего законный процесс SyncHost.exe. Это говорит о высоком уровне подготовки и спланированности атак.

Адаптивные вредоносные программы

Сложность атак подчеркивается адаптивностью вредоносного ПО. В начале использовались старые версии ThreatNeedle и wAgent, затем были интегрированы новые версии, такие как SIGNBT и COPPERHEDGE, обладающие модульной архитектурой и легковесностью. Такие изменения повышают эффективность работы и помогают обходить протоколы обнаружения.

Методы шифрования и маскировки

Зловредные программы используют передовые методы шифрования с применением RSA для безопасной связи с command and control (C2) серверами. Зачастую эти серверы находятся на легитимных, но скомпрометированных веб-сайтах, что значительно усложняет процесс обнаружения их вредоносных действий. Методология атак включает:

  • Перенаправление пользователей с веб-сайтов с высокой посещаемостью на вредоносные домены.
  • Установление командно-контрольных отношений с целью выполнения дальнейших вредоносных действий.
  • Проведение разведки зараженных систем.

Глубокое понимание рынка

Участники группы продемонстрировали глубокое понимание южнокорейского рынка программного обеспечения, что позволяет им эффективно использовать существующие программные зависимости в национальной киберинфраструктуре. Развитие их методов и возможно использование уязвимостей исходного кода из ранее скомпрометированных систем вызывает серьезные опасения о будущих угрозах безопасности.

Рекомендации по кибербезопасности

Аналитическая система Kaspersky threat intelligence подтверждает, что их продукты способны обнаруживать вредоносные программы и эксплойты, связанные с данной кампанией. Это свидетельствует о растущем признании деятельности группы Lazarus и необходимости повышения осведомленности о кибербезопасности.

В связи с каскадными атаками по цепочке поставок и целенаправленными стратегиями, организации в Южной Корее продолжают оставаться под угрозой. Им необходимо сохранять проактивный подход и повышать уровень безопасности для противостояния таким изощренным противникам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: