СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.10.2025
#ИБ#Инфра

Lazarus: DreamJob, tnsviewer.exe и DLL sideloading

Lazarus: DreamJob, tnsviewer.exe и DLL sideloading

В августе 2025 года исследовательская фирма по кибербезопасности Lab52 задокументировала кампанию, связанной с северокорейской группой Lazarus. Атака демонстрирует типичную для этой группы сложную, многоуровневую методику компрометации: социальная инженерия, модульные загрузчики и использование легитимных системных компонентов для сокрытия вредоносной активности.

Коротко о механике атаки

Основная векторная линия — схемы под названием DreamJob, нацеленные на администраторов организаций. Цель — заставить жертву запустить вредоносное ПО, получить учетные данные и конфиденциальную информацию, а затем развернуть контроль над системой посредством модулей-загрузчиков.

  • Атака начиналась с целевых сообщений и архивов, защищённых паролем.
  • В архиве находился троянский клиент tnsviewer.exe — модифицированная версия TightVNC, распространяемая совместно с README.txt, где жертве давались инструкции по подключению к указанному IP-адресу.
  • Злоумышленники использовали несколько типов загрузчиков — модульные компоненты, предназначенные для развертывания различных полезных нагрузок в зависимости от задач.

Методы скрытия: DLL sideloading и маскировка под System32

Дальнейшее расследование выявило применение классического, но всё ещё эффективного метода — DLL sideloading. В арсенале злоумышленников были обнаружены вредоносные библиотеки, в том числе radcui.dll и ещё одна библиотека, указанная в отчёте как webservices.library.dll.

Для маскировки вредоносных внедрений использовались легитимные двоичные файлы, ранее скопированные из каталога Windows System32 — в отчёте упоминаются wkspbroker.exe и wksprt.exe. Такой подход позволяет запускать вредоносные DLL через доверенные исполняемые файлы, снижая шансы на детектирование.

Процесс выполнения включал использование пароля, имитирующего шаблон в стиле SID, что дополнительно повышало конфиденциальность и усложняло автоматическую корреляцию с известными индикаторами.

Загрузчик TSVIPSrv.dll и вредоносная служба sessionenv

Ещё одним важным компонентом расследования стал загрузчик TSVIPSrv.dll, обнаруженный на скомпрометированных серверах. Он работал от имени вредоносной службы с именем sessionenv, созданной злоумышленниками для постоянного присутствия в системе.

Эта библиотека зависела от двух дополнительных файлов, размещённых нападающими: wordpad.dll.mui и msinfo32.dll.mui, которые были предназначены для размещения основной полезной нагрузки. Анализ показал, что в доступе был только файл wordpad.dll.mui, что указывает на то, что второй компонент и его функциональность остаются скрытыми или были удалены/зашифрованы после развертывания.

«Скоординированное использование этих методов — пример сложной стратегии развертывания, в которой особое внимание уделяется использованию законных системных двоичных файлов и зашифрованной полезной нагрузки для сокрытия усилий по обнаружению.»

Анализ тактики и её последствия

  • Модульность: злоумышленники применяют повторно используемые загрузчики и идентичные полезные нагрузки в разных средах, что упрощает тиражирование атак.
  • Сокрытие: использование легитимных System32-бинарников и паролей со структурой SID затрудняет детектирование и автоматическую корреляцию.
  • Неопределённость: обнаружение только части компонентов (например, отсутствие msinfo32.dll.mui) означает, что полный функционал атакующих может оставаться скрытым.
  • Организованность: высокая степень повторного использования кода и скрытой дополнительной загрузки свидетельствует о методологическом подходе Lazarus к масштабированию операций.

Практические рекомендации

  • Внимательно проверять входящие архивы и вложения, особенно защищённые паролем и сопровождаемые инструкциями (README.txt), предназначенными для запуска удалённых подключений.
  • Мониторить и проверять целостность исполняемых файлов в System32 и обнаруживать несанкционированные копии wkspbroker.exe, wksprt.exe и подобных.
  • Анализировать службы с необычными именами (включая sessionenv) и связанные с ними загруженные DLL (TSVIPSrv.dll, wordpad.dll.mui, msinfo32.dll.mui).
  • Ограничить использование удалённых админских клиентов и внедрить многофакторную аутентификацию для подключений по VNC/RDP и аналогичным протоколам.
  • Развернуть средства поведенческого детектирования, способные выявлять sideloading и загрузку DLL через нестандартные цепочки запуска.

Вывод

Документированная Lab52 кампания подтверждает, что Lazarus продолжает развивать и масштабировать свои инструменты: сочетание социальной инженерии (DreamJob), модульных загрузчиков и DLL sideloading создаёт мощную и устойчивую архитектуру атак. Организациям и администраторам стоит учитывать данные тактики при построении стратегии защиты и реагирования, акцентируя внимание на контроле целостности системных файлов и мониторинге подозрительной активности сервисов и DLL.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: