ГлавнаябезопасностьLazarus Group: обращается к криптовалютной компании через LinkedIn

Lazarus Group: обращается к криптовалютной компании через LinkedIn

Команда Lazarus в очередной раз запустила целевую атаку на криптовалютную компанию, нацеленную на сотрудника организации с помощью фишинг-атаки.

Во вторник исследователи кибербезопасности из F-Secure заявили, что криптовалютная компания стала одной из последних жертв глобальной кампании, нацеленной на предприятия как минимум в 14 странах, включая Соединенное Королевство и США.

Лазарь

Lazarus - продвинутая хакерская группа, которая, как считается, связана с Северной Кореей. Экономические санкции против страны, введенные из-за ядерных программ, нарушений прав человека права и многие другие могут быть связаны с группой, которая фокусируется на финансово мотивированных атаках и за последние три года расширила свою деятельность на криптовалюту.

Правительство США заявляет, что группа Lazarus была основана в 2007 году, и с тех пор исследователи связывают глобальную волну атак с этой группой. WannaCry и кампания по краже биткойнов HaoBao в 2018 году.

Согласно F-Secure, последняя атака на Lazarus была обнаружена через объявление о вакансии в LinkedIn. Человек-мишень, системный администратор, получил один фишинг документ в его личной учетной записи LinkedIn, связанной с технологической компанией блокчейн ищу нового системного администратора с его набором навыков наемный рабочий.

Фишинговое письмо похоже на образцы группы Lazarus, уже доступные на VirusTotal, включая имена, авторы и элементы подсчета слов.

Как и в случае со многими фишинговыми документами, необходимо обратиться к жертве, чтобы активировать макрос сокрытие вредоносного кода для запуска атаки. В этом случае его документ Microsoft Word утверждал, что он защищен Общим регламентом ЕС по защите данных (GDPR), и поэтому содержимое документа будет отображаться только в том случае, если были включены макросы.

После получения лицензии макрос документа создал файл .LNK, предназначенный для запуска файла с именем mshta.exe, который вызывает ссылку bit.ly, связанную с VBScript.

Этот сценарий выполняет аудит системы и отправляет бизнес-информацию на командный сервер (C2). C2 предоставляет один Скрипт PowerShell способен "нести" вредоносные программы Lazarus.

Цепочка заражения меняется в зависимости от конфигурации системы, и угрозы используют ряд инструментов. агенты. К ним относятся два задняя дверь имплантаты, аналогичные уже задокументированным Kaspersky и ESET.

Команда Lazarus также использует настраиваемый загрузчик переносимых исполняемых файлов (PE), загружаемый в процесс lsass.exe в качестве «защитного» пакета, который изменяет ключи реестра с помощью утилиты Windows schtasks.

Другие варианты вредоносного ПО, используемые командой Lazarus, могут работать произвольно. команды, распаковать данные в память, а также загрузить и запустить дополнительные файлы. Эти образцы, включая файл LSSVC.dll, также использовались для связывания имплантатов бэкдора с другими целевыми хостами.

Специальная версия Mimikatz используется для сбора учетных данных с зараженной машины, особенно тех, которые имеют финансовую ценность, например, кошельки для шифрования или онлайн-банковские счета.

F-Secure заявляет, что команда Lazarus пыталась избежать обнаружения, удаляя события. безопасность и журналы. Тем не менее, по-прежнему можно было задействовать некоторые образцы текущего набора инструментов APT для расследования текущей деятельности группы.

"F-Secure считает, что команда продолжит нацеливаться на криптовалютные организации, поскольку она остается такой прибыльной. бизнес", - говорят исследователи.

Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.
spot_img

ЖИВЫЕ НОВОСТИ