Вот, наконец, и дождались, когда Lazarus обратили внимание на нашу страну. Долгое время считалось (хотя, если задуматься, почему?), что Россия является запретной целью для хакеров из КНДР из-за дружеских отношений между двумя странами. Однако теперь все изменилось.
Исследователи компании Check Point впервые в истории зафиксировали кибератаку, осуществленную северокорейской киберпреступной группировкой Lazarus на цели в РФ. Как утверждают эксперты, атака была осуществлена подразделением Lazarus под названием Bluenoroff.
Это киберподразделение занято получением финансовой выгоды, тогда как задачей другого подразделения под названием Andariel является осуществление кибератак на Южную Корею. Именно Bluenoroff, кстати, эксперты приписывают самые громкие киберпреступления Lazarus – нашумевший взлом серверов Sony Pictures Entertainment в 2014 году и похищение $81 млн у Центробанка Бангладеш.
Эксперты считают, что однозначным доказательством того, что за кибератаками на цели в России стоит Lazarus, является используемое киберпреступниками вредоносное ПО, а именно – многофункциональный бэкдор KEYMARBLE. Министерство внутренней безопасности США описывает его как троян для получения удаленного доступа (RAT), использующий для защиты передаваемых данных и связи с C&C-сервером криптографический алгоритм XOR. KEYMARBLE получает инструкции от удаленного сервера.
Цепочка заражения в ходе данной кампании начинается с распаковки ZIP-файла, содержащего два документа: маскировочный PDF и вредоносный Word или Excel с макросом – пользователя убеждают включить его с помощью изображения с нечитаемым текстом. Если уловка сработала, с Dropbox загружается VBS-скрипт; он в свою очередь скачивает с удаленного сервера CAB-файл, замаскированный под JPEG-картинку, а затем, используя Windows-утилиту expand.exe, извлекает целевую нагрузку – бэкдор KEYMARBLE .
В предыдущих сериях на АКБ:
Игра киберпрестолов: США готовятся к войне хакеров с Ираном
Игра киберпрестолов II: Евгений Лифшиц об иранских хакерах, придуманных и настоящих
Игра киберпрестолов III: США обвинили иранских хакеров в гоп-стопе 43 штатов
Игра киберпрестолов IV: Charming Kitten ломают Минфин США за санкции против Ирана
Игра киберпрестолов V: китайцы атакуют ВМС США и украли чертежи секретной ракеты
Игра киберпрестолов VI: китайцы три года читали почту дипломатов ЕС
Игра киберпрестолов VII: китайцы атакуют германские предприятия через провайдеров
Игра киберпрестолов VIII: США предъявило официальные обвинения китайским хакерам Red Panda
Игра киберпрестолов IX: США иранцев обвиняют, а те только крепчают, и по всему миру DNS угоняют
Игра киберпрестолов X: Китай против Норвегии, Иран против Израиля
Игра киберпрестолов XI: разведчица ВВС США сбежала в Иран и следила за экс-коллегами через Facebook
