Дослідники ESET аналізують нещодавню діяльність сумнозвісної групи APT: групи Lazarus, яка втручається в програмне забезпечення безпеки.
Дослідники ESET виявили кампанію Lazarus Group, спрямовану спеціально на користувачів Інтернету з Південної Кореї. Зловмисники використовують шкідливу програму, яка заражає ланцюжок постачання програмного забезпечення за допомогою незвичних маніпуляцій. Для цього хакери зловживають законним південнокорейським програмним забезпеченням безпеки WIZVERA VeraPort і цифровими сертифікатами. У Південній Кореї під час відвідування державних веб-сайтів або веб-сайтів інтернет-банкінгу користувачам часто пропонується встановити додаткове програмне забезпечення безпеки. Дослідники ESET тепер опублікували свій детальний аналіз на WeliveSecurity.
«WIZVERA VeraPort — це спеціальний південнокорейський додаток для встановлення та керування додатковим програмним забезпеченням безпеки. Для запуску такої інсталяції програмного забезпечення потрібна мінімальна взаємодія з користувачем», — пояснює Антон Черепанов, дослідник ESET, який керував розслідуванням атаки. «Як правило, це програмне забезпечення використовується державними та банківськими веб-сайтами. Для деяких із цих сайтів встановлення WIZVERA Veraport є обов’язковим».
Сертифікат незаконного підпису коду
Для поширення шкідливого програмного забезпечення зловмисники використовують незаконно отримані сертифікати підпису коду. Спочатку вони були видані для американського відділення південнокорейської охоронної компанії. «Зловмисники маскують зловмисне програмне забезпечення під легальне програмне забезпечення. Шкідливі програми мають імена файлів, піктограми та ресурси, подібні до легітимного південнокорейського програмного забезпечення, — каже дослідник ESET Пітер Калнаі, — саме поєднання скомпрометованих веб-сайтів із підтримкою WIZVERA VeraPort і спеціальними налаштуваннями VeraPort дозволяє зловмисникам здійснити цю атаку.
За кампанією стоїть Lazarus Group?
Експерти ESET знайшли докази того, що атаку можна віднести до Lazarus Group. Поточна кампанія є продовженням того, що південнокорейський CERT (KrCERT) назвав Operation BookCodes. Цю кампанію також віднесли до групи APT.
Інші підказки включають типові особливості використовуваних інструментів, методи шифрування, налаштування мережевої інфраструктури та той факт, що атака сталася в Південній Кореї, де, як відомо, працює Lazarus.
Дізнайтеся більше на сайті WeLiveSecurity ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.