СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.03.2025
#ИБ#Инфра

Расследование C2-инфраструктуры Lazarus: ключевые уязвимости выявлены

Расследование C2-инфраструктуры Lazarus: ключевые уязвимости выявлены

Недавнее расследование инфраструктуры управления (C2) Lazarus APT Group, проведенное в свете кибератаки на криптобиржу Bybit, выявило важные технические детали, связанные с этой угрозой, стоимостью более 1 миллиарда долларов. Важность данного анализа заключается в его способности предложить новые способы борьбы с киберпреступностью через детальное изучение исторических данных и ответов хостов.

Ключевые моменты исследования

6 марта 2025 года был проведен дальнейший анализ, в ходе которого использовались:

  • Данные ответа хоста Validin;
  • Исторические базы данных DNS.

Основное внимание было уделено выявлению редких или уникальных атрибутов ответа хоста, что может быть решающим для поиска и обнаружения угроз.

Выявленные связи и атрибуты

В ходе анализа были идентифицированы различные доменные имена и IP-адреса, ранее упомянутые в обновлениях от Safe{Wallet} и SlowMist. Это указывает на то, что:

  • Эти домены используются преимущественно для операций C2;
  • Серверное значение «Tool/3.1.3 Python/3.13.1» было определено как неуникальное, но необычное.

Кроме того, определенные хэши баннеров и основные подписи были классифицированы как редкие. Например, SHA тела D767b3cb0ad66544c649E4165fc4B37E3C17E370 показал заметное количество точек поворота, указывая на его потенциальную значимость для идентификации связанных узлов C2.

Расширение возможностей борьбы с угрозами

Систематическая фильтрация атрибутов конфигурации сервера и функций HTML-ответов позволила выявить новые IP-адреса, которые соответствуют принципам работы Lazarus Group. Это означает, что:

  • Специалисты по поиску угроз могут предварительно идентифицировать связанные домены и IP-адреса;
  • Усиливаются возможности в борьбе с постоянными угрозами со стороны таких групп, как Lazarus.

Заключение

Это исследование подчеркивает важность использования истории DNS и данных об ответах хостов для выявления сложных враждебных инфраструктур. Хотя в обзоре не рассматриваются рекламные аспекты услуг Validin, описанные методы иллюстрируют, как аналитики угроз могут эффективно выявлять и анализировать признаки, связанные с изощренными хакерами. Это, в конечном итоге, усиливает защитные меры против таких групп, как Lazarus.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: