Легендарная северокорейская APT-группировка Lazarus, про которую подозрительно давно не было слышно, взяла на вооружение ранее неизвестный троян HOPLIGHT, способный доставлять на целевое устройство вредоносные модули, изменять реестр и делать инъекции в уже запущенные процессы.
По словам экспертов Департамента внутренней безопасности США и специалисты ФБР, опубликовавшие детальный отчет о зловреде, «гоплит» использует многоуровневую обфускацию канала передачи данных, чтобы скрыть командные серверы и затруднить обнаружение атаки антивирусными сканерами (отметим, что слово «гоплит» означает воина-участника классической греческой фаланги, закрытой как черепаха, щитами со всех сторон).
ПО HOPLIGHT состоит из девяти исполняемых файлов, из них семь — прокси-приложения для маскировки трафика между инфицированным компьютером и центром управления. ИБ-специалисты выяснили, что троян использует легитимный SSL-сертификат южнокорейского поисковика Naver для генерации фальшивых TSL-рукопожатий и сокрытия канала передачи данных с жестко заданными IP-адресами хостов.
Функционал вредоносных компонентов весьма широк:
Подключаться к удаленному серверу.
Скачивать файлы с целевой машины и доставлять на нее полезную нагрузку.
Вести подсчет системных дисков.
Создавать и завершать процессы.
Вносить изменения в системный реестр.
Перемещать, читать и изменять файлы.
Внедрять код в активные процессы.
Запускать и останавливать службы в рамках ОС.
Исследователи также обнаружили, что один из компонентов HOPLIGHT загружает в скомпрометированную систему несколько программных интерфейсов, связанных с тулкитами, для атак Pass-The-Hash. Такие вредоносные инструменты предназначены для авторизации на удаленном сервере, а также кражи пользовательских паролей и другой учетной информации. Помимо этого, зловред собирает и передает операторам данные о версии ОС, метках дисков и системном времени.
В феврале группировку Lazarus, которую некоторые эксперты связывают с Северной Кореей, заметили (впервые!) в атаках на российские компании. Как выяснили ИБ-специалисты, злоумышленники проникали на целевые системы через зараженные документы Word или Excel. Запуск макросов инициировал установку бэкдора KEYMARBLE, предназначенного для кражи данных.
До этого, в конце августа 2018 года стало известно, что северокорейские хакеры Lazarus написали (добыли?) себе нового шифровальщика Ryuk — то же самое, что Hermes, которым грабили банки Тайваня, но с дополнительной фишкой. У Ryuk есть список из 40 служебных процессов и 180 приложений, которые шифровальщик вырубает перед началом работы, например антивирусные службы и системы резервного копирования. Следует ли из того, что Lazarus втихую совершенствуют свой арсенал, что они готовятся к какому-то новому мегапроекту, вроде тех, что прославили их пару лет назад? АКБ будет внимательно следить за развитием событий.
Напоминаем, что мировую известность группировка Lazarus впервые приобрела благодаря атаке на Sony Pictures Entertainment, DDoS-атакам и кибер-грабежу размером $81 млн из Бангладешского банка. В марте 2017 года представители ФБР и АНБ впервые подтвердили, что за атакой̆ на бангладешский Центробанк может стоять официальный Пхеньян. С Lazarus также связывают вирусную эпидемию 2017 года WannaCry, парализовавшую работу ряда правительственных учреждений по всему миру.
Читайте также на АКБ:
…Исследователи компании Check Point впервые в истории зафиксировали кибератаку, осуществленную северокорейской киберпреступной группировкой Lazarus на цели в РФ. Как утверждают эксперты, атака была осуществлена подразделением Lazarus под названием Bluenoroff.
Это киберподразделение занято получением финансовой выгоды, тогда как задачей другого подразделения под названием Andariel является осуществление кибератак на Южную Корею. Именно Bluenoroff, кстати, эксперты приписывают самые громкие киберпреступления Lazarus – нашумевший взлом серверов Sony Pictures Entertainment в 2014 году и похищение $81 млн у Центробанка Бангладеш.
…Специалисты Trend Micro подготовили отчет о деятельности легендарной северокорейской хак-группы Lazarus (которая культовая уже почти как рок-группа). С середины сентября 2018 года хакеры переключились на заражение бэкдорами финансовых учреждений в странах Латинской Америки .
…В конце прошлого года эксперты McAfee обнаружили новую мощную хакерскую атаку, направленная на оборонную, ядерную и финансовую инфраструктуры, а также сферу телекоммуникаций и высоких технологий по всему миру . С октября злоумышленники Sharpshooter атаковали 87 организаций в 24 странах в Южной Америке, Европе, на Ближнем Востоке, в Индии, Австралии и Японии. Есть подозрение, что за атакой стоят северокорейцы Lazarus, но доказано это до сих пор не было.
