Lazarus (APT38): шпионаж, кражи, вымогательство и эволюция TTP

Группа Lazarus, также известная как APT38, остаётся одной из самых опасных и адаптивных хакерских организаций современности. С момента появления в 2009 году её операции охватывают шпионаж, саботаж и кражу денежных средств — от атаки на Sony Pictures (2014) до ограбления банка в Бангладеш (2016) и разрушительного распространения WannaCry (2017). В последнем отчёте подробно описаны методы, инструменты и процедуры (TTP), которые позволяют группе сохранять эффективность против разнообразных целей.

Краткая ретроспектива громких операций

За более чем десятилетие активности Lazarus продемонстрировала широкий набор операций, включающих:

• целевые атаки на медийные компании и госструктуры (Sony Pictures);
• финансовые кражи и саботаж банковских инфраструктур (Bangladesh Bank heist);
• массовое распространение шифровальщиков и disruption-кампаний (WannaCry), приводившее к сбоям в здравоохранении и государственных службах.

Векторы проникновения и начальная компрометация

Lazarus применяет многоуровневый подход к начальной компрометации, среди ключевых методов — spearphishing, drive-by и использование вредоносных файлов. Характерные техники:

• spearphishing с использованием документов-эксплойтов и бэкдоров (например, Dtrack, компоненты кампании AppleJeus);
• watering hole-атаки и typosquatting для распространения инсталляторов, замаскированных под легитимное ПО;
• маскировка вредоносных компонентов внутри безопасных форматов файлов для обхода средств детекции.

Закрепление и повышение устойчивости внутри сети

После попадания в систему Lazarus быстро закрепляет присутствие. Среди применяемых механизмов:

• обманчивые ярлыки в папке автозагрузки Windows;
• манипуляции с WMI для удалённого запуска скриптов и обеспечения постоянного управления;
• обфускация кода: динамическое разрешение API, встраивание полезных данных в легитимные форматы файлов;
• использование zero-day уязвимостей, в том числе CVE-2024-38193, для повышения привилегий до системного уровня.

Инструменты и вредоносное ПО

В арсенале Lazarus — как собственные разработки, так и адаптированные инструменты. Отмеченные в отчёте образцы включают:

• кейлоггер KiloAlfa;
• инструменты «перемещения по сети» — SierraCharlie и SierraBravo;
• компоненты кампании AppleJeus и бэкдоры типа Dtrack.

Для перемещения по сети и эксфильтрации данных группа использует RDP, корпоративную почту и нестандартные каналы связи с C2.

Коммуникация с C2 и эксфильтрация данных

Одной из характерных особенностей Lazarus является использование легитимных облачных сервисов и зашифрованных каналов для «маскировки» трафика. В отчёте подчёркнуто, что злоумышленники применяют, в том числе, Dropbox как канал для эксфильтрации данных, что усложняет обнаружение на фоне легитимного трафика.

«Тактика группы Lazarus постоянно развивается, что свидетельствует о неизменном стремлении адаптироваться к новым технологиям и методам обнаружения.»

Риски и последствия для организаций

Операции Lazarus способны привести к тяжёлым последствиям:

• кража финансовых средств и интеллектуальной собственности;
• нарушение работоспособности критических сервисов (здравоохранение, госорганы, финансы);
• утечка чувствительных данных и длительное персистирование в сети жертвы;
• преднамеренное уничтожение данных — disk wiping и шифрование (ransomware).

Практические рекомендации по защите

Чтобы снизить вероятность успешной атаки и минимизировать последствия, экспертное сообщество рекомендует:

• усилить защиту почтовой инфраструктуры и внедрить многоуровневую фильтрацию spearphishing;
• регулярно патчить ОС и ПО, включая устранение критических уязвимостей (особое внимание — zero-day);
• ограничить/контролировать использование внешних облачных хранилищ и внедрить DLP-решения;
• мониторить подозрительную активность WMI и RDP, внедрять многофакторную аутентификацию и сегментацию сети;
• использовать EDR/NGAV с возможностями поведенческого анализа и дешифрования подозрительных контейнеров;
• разрабатывать и тестировать планы инцидент-респонса и восстановления (backup & recovery), включая сценарии диск-клин и ransomware.

Вывод

Lazarus/ APT38 — это гибридная, профессионально организованная группа с доказанной способностью адаптироваться и масштабировать атаки. Комбинация целевых социальных-инженерных кампаний, использования zero-day уязвимостей, сложной обфускации и злоупотребления легитимными сервисами делает её угрозой высокого уровня для организаций по всему миру. Чтобы противостоять такой атакующей силе, требуется непрерывное совершенствование защитных мер, своевременное устранение уязвимостей и координированная готовность реагирования на инциденты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.