Операция SyncHole: APT-группа Lazarus затягивает в омут

Группа Lazarus вновь привлекла внимание экспертов кибербезопасности — с конца осени прошлого года она развернула активную кампанию против ряда южнокорейских организаций. Как сообщили специалисты из исследовательского подразделения, наблюдение за действиями злоумышленников велось с ноября. В качестве метода проникновения использовалась тактика заражения через легитимные сайты, известная как watering hole, а также эксплуатация уязвимостей, найденных в отечественном программном обеспечении.

Эта кампания, получившая название «Операция SyncHole», уже затронула не менее шести компаний, действующих в отраслях телекоммуникаций, информационных технологий, финансов, производства полупроводников и разработки ПО. Представители исследовательской команды уверены: масштабы воздействия на инфраструктуру гораздо шире. Как подчеркнули аналитики, материалы расследования были оперативно переданы в южнокорейское Агентство по интернету и кибербезопасности (KrCERT/CC) — это позволило властям принять экстренные меры и устранить обнаруженные уязвимости в используемом программном обеспечении.

По итогам исследования было подтверждено: злоумышленники применяли уязвимость нулевого дня, выявленную в продукте Innorix Agent. С её помощью осуществлялось горизонтальное перемещение внутри заражённой инфраструктуры. В арсенале группы были обнаружены новые версии вредоносных программ: ThreatNeedle, загрузчик Agamemnon, а также утилиты wAgent, SIGNBT и COPPERHEDGE, отличающиеся обновлённым функционалом.

Один из первых сигналов об активности злоумышленников был зафиксирован в ноябре. Тогда специалисты обнаружили, что вредоносная программа из семейства ThreatNeedle — одна из наиболее известных разработок Lazarus — была внедрена в легитимный процесс SyncHost.exe и функционировала как подпроцесс приложения Cross EX, созданного в Южной Корее. Впоследствии эта точка проникновения, по всей вероятности, послужила стартом для дальнейших атак, повлекших за собой заражение ещё как минимум пяти организаций.

Как отмечено в свежем уведомлении о безопасности, опубликованном на официальном портале KrCERT, в приложении Cross EX действительно были выявлены уязвимости, соответствующие периоду активности, который фиксировали исследователи. Таким образом, выявленные совпадения подтверждают связь между обнаруженными инцидентами и активностью группы Lazarus.

Полная версия отчета представлена по ссылке.