APT Group Lazarus націлена на оборонні компанії. Зловмисне програмне забезпечення ThreatNeedle також атакує обмежені мережі без доступу до Інтернету.
Дослідники Kaspersky ідентифікували нову, раніше невідому кампанію від досвідченого загрозливого актора Lazarus. З початку 2020 року він націлений на компанії оборонної промисловості за допомогою спеціального бекдора ThreatNeedle. Бекдор переміщується вбік через заражені мережі та збирає конфіденційну інформацію. Lazarus може викрадати дані як з ІТ, так і з обмежених мереж.
Lazarus Group працює з 2009 року
Lazarus є плідним загрозливим актором, який працює принаймні з 2009 року. Угруповання відоме масштабним кібершпигунством і кампаніями-вимагачами, а також атаками на ринок криптовалют. Поточні атаки також були виявлені у зв’язку з Covid-19 і дослідженнями вакцини. Хоча в попередні роки Lazarus зосереджувався на фінансових установах, з початку 2020 року, схоже, в центрі уваги була оборонна промисловість.
Backdoor інцидент викриває ThreatNeedle
Дослідники Kaspersky вперше дізналися про цю нову кампанію, коли їх запросили для підтримки реагування на інциденти. Після аналізу стало зрозуміло, що організація стала жертвою спеціального бекдору, типу шкідливого програмного забезпечення, яке дозволяє повністю віддалено контролювати пристрій. Цей бекдор, який отримав назву ThreatNeedle, переміщається вбік через заражені мережі та витягує конфіденційну інформацію. Наразі постраждали організації в понад десятку країн. Касперський виявив численні хости з Європи, Північної Америки, Близького Сходу та Азії, які підключилися до інфраструктури зловмисника.
Схема та підхід до зараження ThreatNeedle
Початкове зараження відбувається через фішингові електронні листи, які містять шкідливе вкладення Word або посилання на вкладення, розміщене на корпоративних серверах. Електронні листи, часто замасковані під термінові оновлення, пов’язані з пандемією коронавірусу, нібито надійшли з авторитетного медичного центру.
Якщо шкідливий документ відкрито, зловмисне програмне забезпечення виконується та переходить до наступного етапу процесу доставки. Використовувана шкідлива програма ThreatNeedle належить до сімейства шкідливих програм «Manuscrypt», яка відноситься до групи Lazarus і раніше використовувалася для атак на криптовалютні компанії. Після встановлення ThreatNeedle отримує повний контроль над пристроєм жертви – від редагування файлів до виконання отриманих команд.
Крадіжка даних з офісних ІТ-мереж
Використовуючи ThreatNeedle, Lazarus може викрадати дані як з офісних ІТ-мереж (мережа комп’ютерів із доступом до Інтернету), так і з закритої мережі заводу чи об’єкта (мережа критично важливих для бізнесу ресурсів і комп’ютерів із дуже конфіденційними даними та базами даних без доступу до Інтернету). . Відповідно до політики атакованих компаній, жодна інформація не може передаватись між цими двома мережами. Однак адміністратори можуть підключатися до будь-якої мережі для обслуговування системи. Lazarus зміг взяти під контроль робочі станції адміністратора та налаштувати шкідливий шлюз для атаки на обмежену мережу та крадіжки та вилучення звідти конфіденційних даних.
Докладніше читайте на каналі ICS Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/