Відомий актор APT Lazarus розширює свої атаки і тепер націлений на компанії в Європі, включаючи Німеччину та Швейцарію. Фахівцям Kaspersky вдалося виявити атаки за допомогою бекдора DTrack на дві німецькі хімічні компанії та одну на швейцарську хімічну компанію.
Lazarus активно працює щонайменше з 2009 року, і його звинувачують у кібершпигунстві, кіберсаботажі та атаках програм-вимагачів. Спочатку група зосередилася на реалізації того, що здавалося геополітичним планом, зосередженим переважно на Південній Кореї. Однак він перейшов до глобальних цілей, а також почав здійснювати атаки з метою фінансової вигоди.
Зараз атаки також спрямовані на компанії в Європі. Фахівцям Kaspersky вдалося ідентифікувати дві атаки в Німеччині, в яких DTrack використовувався як бекдор: одна на компанію з хімічної переробки та інша на виробництві. Крім того, можна ідентифікувати атаку на швейцарську компанію з хімічної обробки.
Модифікований бекдор DTrack
Бекдор DTrack був спочатку виявлений у 2019 році [3] і не зазнав суттєвих змін з часом. DTrack ховається у виконуваному файлі, який виглядає як законна програма. Існує кілька етапів розшифровки, перш ніж почнеться шкідливе програмне забезпечення. Новим є додатковий третій рівень шифрування, який було додано до деяких нових зразків зловмисного програмного забезпечення.
Аналіз Kaspersky показує, що Lazarus використовує бекдор для різноманітних атак з метою отримання фінансової вигоди. Це дозволяє кіберзлочинцям завантажувати, завантажувати, запускати або видаляти файли на хості жертви. Один із завантажених і виконаних файлів, який уже був помічений як частина звичайного набору інструментів DTrack, — це кейлоггер, а також програма для створення скріншотів і модуль для збору системної інформації жертви. Загалом, такий набір інструментів може допомогти кіберзлочинцям виконувати бічні рухи в інфраструктурі жертв, наприклад, для отримання інформації.
Орієнтація на KRITIS, школи, дослідження
За даними телеметрії KSN, DTrack працює в Німеччині, Бразилії, Індії, Італії, Мексиці, Швейцарії, Саудівській Аравії, Туреччині та США. Таким чином Лазар розширює коло своїх жертв. Цільові компанії включають частини критичної інфраструктури, такі як навчальні заклади, хімічні компанії, державні дослідницькі центри та державні департаменти, постачальники ІТ-послуг, комунальні послуги та телекомунікації.
«DTrack все ще активно використовується Lazarus», — пояснює Йорнт ван дер Віл, дослідник безпеки в групі глобальних досліджень і аналізу Kaspersky (GReAT). «Зміни, внесені до способу упаковки зловмисного програмного забезпечення, показують, що Lazarus все ще надає високу цінність DTrack. Тим не менш, Lazarus не сильно змінився в ньому з 2019 року, коли його спочатку виявили. Проте аналіз віктимології показує, що операції поширені на Європу, і цю тенденцію ми спостерігаємо все частіше».
Більше на Kasperky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/