Одна из самых активных северокорейских хакерских группировок, действующих при поддержке государства, оказалась причастна к новой шпионской кампании. Её цель — выкрасть конфиденциальную информацию у компаний оборонной промышленности.
Специалисты «Лаборатории Касперского» с высокой степенью уверенности приписали эти атаки группе Lazarus. По их данным, речь идёт о заметном расширении арсенала APT-группировки: теперь она выходит за рамки привычных финансово мотивированных преступлений, которыми обычно пополняет бюджет испытывающего нехватку денег режима.
Смена стратегических приоритетов произошла в начале 2020 года. Как рассказали в отчёте исследователи Вячеслав Копейцев и Сонгсу Пак, злоумышленники начали использовать инструмент под названием ThreatNeedle.
Многоступенчатая атака
Кампания построена на многоэтапном подходе. Всё начинается с тщательно подготовленной адресной фишинговой рассылки (spear-phishing) и в конечном счёте приводит к тому, что атакующие получают удалённый контроль над устройствами жертвы.
ThreatNeedle доставляется целям через письма на тему COVID-19 с вредоносными вложениями в формате Microsoft Word. Именно эти документы служат первичным вектором заражения: при открытии файла запускается макрос с вредоносным кодом, который загружает и выполняет дополнительные модули на заражённой системе.
Зловред следующего этапа встраивает свои возможности в бэкдор для Windows. Он обеспечивает первичную разведку, а затем разворачивает вредоносное ПО для горизонтального перемещения по сети и кражи данных.
«После установки ThreatNeedle способен получить полный контроль над устройством жертвы — то есть может делать всё, от манипуляций с файлами до выполнения полученных команд», — отметили исследователи Kaspersky.
Связи с другими операциями Lazarus
В Kaspersky обнаружили пересечения между ThreatNeedle и другим семейством вредоносов — Manuscrypt, которое Lazarus применяла в прошлых кампаниях против криптовалютной индустрии и разработчиков мобильных игр. Кроме того, выявились связи с другими кластерами группировки: AppleJeus, DeathNote и Bookcode.
Показательно, что Manuscrypt использовался и в другой операции Lazarus месяцем ранее — той, что была нацелена на сообщество специалистов по кибербезопасности. Тогда исследователям предлагали сотрудничество в изучении уязвимостей, а на деле заражали их вредоносом. Он мог похитить эксплойты, разработанные для ещё не раскрытых уязвимостей, чтобы затем применять их для атак на новые цели.
Обход сегментации сети
Едва ли не самая тревожная деталь — приём, которым атакующие обошли защиту на основе сегментации сети в одной корпоративной инфраструктуре (её название не раскрывается). Хакеры «получили доступ к внутреннему маршрутизатору и настроили его как прокси-сервер, что позволило им выгружать похищенные данные из внутренней сети на свой удалённый сервер».
По данным компании, на сегодня пострадали организации более чем в десятке стран. При этом как минимум одно из фишинговых писем, упомянутых в отчёте, написано на русском языке, а ещё одно сообщение содержало вредоносное вложение с именем «Boeing_AERO_GS.docx» — что, возможно, указывает на цель в США.
Ранее в том же месяце Министерство юстиции США предъявило обвинения трём северокорейским хакерам, связанным с военной разведкой КНДР. Их обвинили в участии в преступном сговоре с целью вымогательства 1,3 миллиарда долларов в криптовалюте и наличными у банков и других организаций по всему миру.
«В последние годы группа Lazarus сосредоточилась на атаках на финансовые учреждения по всему миру. Однако с начала 2020 года они переключились на агрессивные атаки на оборонную отрасль, — заключили исследователи. — И хотя Lazarus уже использовала зловред ThreatNeedle при атаках на криптовалютный бизнес, сейчас он активно применяется именно в операциях кибершпионажа».
Источник: The Hacker News.