Кибератака Lazarus: Домен криптовалют и скрытый бэкдор
Изображение: mp.weixin.qq.com
Организация Lazarus, известная своими изощренными методами кибератак, снова привлекла внимание экспертов в области кибербезопасности. Недавняя атака использовала доменное имя cryptocopedia.com в качестве управляющего сервера, что свидетельствует о заранее спланированной схеме действий группы.
Исходные данные об атаке
Конкретный URL-адрес, задействованный в атаке, https://cryptocedia.com/upgrade/latest.asp, уже использовался в предыдущих операциях Lazarus. Это еще раз подтверждает причастность группы к данной атаке.
Тактика, примененная в данном инциденте, соответствует известным методам и процедурам Lazarus (TTP), что усиливает подозрение об их вовлеченности. Основная цель атаки заключалась в использовании программы установки IPMsg с целью кражи важной пользовательской информации.
Рекомендации по противодействию атакующим
Для противодействия подобной вредоносной активности специалисты предлагают следующие меры:
- Осторожность при обращении с файлами и ссылками с социальных платформ.
- Загрузка программ исключительно из официальных источников после тщательной проверки с использованием таких инструментов, как 360 Security Guard.
- Проведение обучения сотрудников безопасности для повышения осведомленности о попытках фишинга.
- Постоянное обновление операционных систем и программного обеспечения для оперативного устранения уязвимостей в системе безопасности.
О исследовательском институте 360 Advanced Threat Research Institute
Институт, проводивший исследование, 360 Advanced Threat Research Institute, представляет собой основной отдел поддержки 360 Government and Enterprise Security Group. Он располагает командой опытных специалистов, фокусирующихся на выявлении, защите от передовых угроз и их нейтрализации.
Особенности активных методов Lazarus
Группа Lazarus, также известная под кодовым именем APT-C-26, выделяется как высокоактивная группа APT, известная своими изощренными и скрытными методами атаки. Специализируясь на атаках на финансовые учреждения и криптовалютные биржи, она применяет сложные стратегии, такие как:
- Фишинг.
- Прямые кибератаки.
- Атаки программ-вымогателей.
Недавние действия группы показывают, что Lazarus использует установщик IPMsg для облегчения атак, демонстрируя превосходные навыки социальной инженерии и манипуляции пользователями с целью активации вредоносных программ для кражи информации.
Анализ механизма атаки
Атака начинается с распространения программы установки IPMsg, оснащенной вредоносным кодом. При запуске программой устанавливается вредоносный DLL-файл, который маскируется под официальную версию, отвлекая внимание пользователя и одновременно активируя вредоносные действия:
- Создание бэкдора через связь с сервером удаленного управления (C2).
- Загрузка дополнительных программ бэкдора.
- Кража конфиденциальной информации.
Также атака включает в себя получение данных с сервера C2, которое разбивается на пять частей в зависимости от определенных критериев. Эти данные содержат размеры полезной нагрузки, функции экспорта DLL-файлов, контрольные значения и хэши MD5.
После синтаксического анализа образец начинает получать последующие полезные данные с сервера, используя проверки хэша для контроля целостности. После успешной связи с сервером C2 программа переходит в фазу ожидания для поддержания работы механизма бэкдора.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.
