Специалисты Trend Micro подготовили отчет о деятельности легендарной северокорейской хак-группы Lazarus (которая культовая уже почти как рок-группа). С середины сентября текущего года хакеры переключились на заражение бэкдорами финансовых учреждений в странах Латинской Америки.
Технически и структурно данные атаки перекликаются с деятельностью Lazarus в 2017 году, когда группа атаковала азиатские страны. Lazarus точно так же используют в атаках файл FileTokenBroker.dll и тот же модульный бэкдор, который уже был замечен аналитиками ранее.
Малварь группы состоит из трех компонентов, каждый из которых отвечает за выполнение различных целей: AuditCred.dll/ROptimizer.dll играет роль загрузчика, который запускается как служба, Msadoz.dll – это сама зашифрованная бэкдор-малварь, а Auditcred.dll.mui/rOptimizer.dll.mui представляет собой конфигурационный файл вредоноса.
С помощью бэкдора Lazarus могут выполнять целый спектр различных задач: собирать различные данные о системе и похищать файлы, загружать дополнительную малварь, запускать или останавливать процессы, внедрять вредоносный код в запущенные процессы, удалять файлы, задействовать обратный шелл, прокси и.т.д. При этом малварь активно скрывается от удаления и бегает по директориям.
Как ранее писала АКБ , по данным отчета Group-IB, неуловимая хакерская группа Lazarus из Северной Кореи за 2018 год украла более полумиллиарда долларов в криптовалютах. В течение года они стояли за 14 взломами криптобирж, украв около $571 млн. Учитывая, что общая сумма украденной криптовалюты за этот срок составила в районе $882 млн, получается, северокорейцы стоят за 65% всех криптовзломов вообще. Предполагается, что Lazarus были также вовлечены в январский взлом биржи Coincheck, результатом которого стала кража более $500 млн.
Широкую известность группировка Lazarus приобрела благодаря атаке на Sony Pictures Entertainment, DDoS-атакам и кибер-грабежу размером $81 млн из Бангладешского банка. В марте 2017 года представители ФБР и АНБ впервые подтвердили, что за атакой̆ на бангладешский Центробанк может стоять официальный Пхеньян. С Lazarus также связывают вирусную эпидемию 2017 года WannaCry, парализовавшую работу ряда правительственных учреждений по всему миру.
