Последние несколько недель исследователи из Check Point наблюдают подозрительную активность, направленную против российских организаций. Атаки носят скоординированный характер, а используемые при этом тактические приемы, техники и инструменты указывают на Lazarus — APT-группу, предположительно имеющую северокорейские корни.
На прошлой неделе была также зафиксирована похожая киберкампания в Южной Корее, однако анализ показал, что тактика, инструментарий и способы проведения этих атак совсем другие. В Check Point предположили, что совпавшие по времени операции проводят две подгруппы Lazarus, известные в ИБ-сообществе как Andariel и Bluenoroff. Первая сфокусирована на южно-корейских организациях и правительственных структурах, вторая действует шире, притом стремится извлечь из атак финансовую выгоду.
В ходе текущей кампании эксперты обнаружили множество вредоносных документов Microsoft Office, созданных как приманки для российских компаний разного профиля. Все они содержат одинаковые метаданные (имя автора — home, язык кодовой страницы — корейский) и были загружены на VirusTotal из России в конце января.
Цепочка заражения начинается с распаковки ZIP-файла, содержащего два документа: маскировочный PDF и вредоносный Word или Excel с макросом — пользователя убеждают включить его с помощью изображения с нечитаемым текстом. Если уловка сработала, с Dropbox загружается VBS-скрипт; он в свою очередь скачивает с удаленного сервера CAB-файл, замаскированный под JPEG-картинку, а затем, используя Windows-утилиту expand.exe, извлекает целевую нагрузку — бэкдор.
Исследователи также отметили, что в какой-то момент атакующие решили отказаться от второй ступени заражения и внесли соответствующие коррективы в свой макрос.
Устанавливаемый в результате атаки многофункциональный бэкдор уже известен ИБ-сообществу. Эксперты американской Группы быстрого реагирования на киберинциденты (US-CERT) называют его KEYMARBLE. По сути это инструмент удаленного администрирования, который в данном случае помогает оператору получить информацию с зараженной машины. После запуска он пытается установить соединение в C&C-сервером на порту 443, используя вшитый в код IP-адрес (194[.]45[.]8[.]41).
В режиме ожидания зловред повторяет попытки подключения каждые полчаса. Получив команду, он выходит из цикла и приступает к ее выполнению — сбору и отправке данных, завершению процессов, перезаписи и удалению файлов и т. п.
Примечательно, что для коммуникаций данный вариант KEYMARBLE использует SSL, а команды ему подаются в два приема: вначале высылается сообщение с указанием длины данных, затем — код команды.
• Source: research.checkpoint.com/north-korea-turns-against-russian-targets/
PS: Эксперты уже давно говорят, что «российские правительственные хакеры» — одни из самых продвинутых, когда дело касается различных кибервторжений на государственном уровне. В США убеждены, что именно киберпреступники из России регулярно взламывают правительственные и частные компьютеры. Теперь такого рода позиция нашла отклик в недавнем отчете компании CrowdStrike, которая проанализировала активность хакеров из различных стран.
Согласно результатам исследования специалистов из CrowdStrike, российские хакеры более быстрые и ловкие, чем северокорейские, китайские и иранские киберпреступники.
В ходе своих исследований CrowdStrike замеряла скорость, с которой киберпреступники могли проникнуть в сеть и начать красть данные. Именно этот показатель, по мнению представителей компании, является наиболее важным — ведь в настоящее время вторжения достаточно быстро детектируют и пресекают.
Чем быстрее хакеры проникнут в сеть интересующего их предприятия, тем больше данных им удастся похитить.
«Мы получили довольно удивительные результаты — российские хакеры оказались в восемь раз быстрее, чем хакеры из КНДР», — пишет CrowdStrike в отчете: crowdstrike.com/resources/reports/2019-crowdstrike-global-threat-report/
На прошлой неделе была также зафиксирована похожая киберкампания в Южной Корее, однако анализ показал, что тактика, инструментарий и способы проведения этих атак совсем другие. В Check Point предположили, что совпавшие по времени операции проводят две подгруппы Lazarus, известные в ИБ-сообществе как Andariel и Bluenoroff. Первая сфокусирована на южно-корейских организациях и правительственных структурах, вторая действует шире, притом стремится извлечь из атак финансовую выгоду.
В ходе текущей кампании эксперты обнаружили множество вредоносных документов Microsoft Office, созданных как приманки для российских компаний разного профиля. Все они содержат одинаковые метаданные (имя автора — home, язык кодовой страницы — корейский) и были загружены на VirusTotal из России в конце января.
Цепочка заражения начинается с распаковки ZIP-файла, содержащего два документа: маскировочный PDF и вредоносный Word или Excel с макросом — пользователя убеждают включить его с помощью изображения с нечитаемым текстом. Если уловка сработала, с Dropbox загружается VBS-скрипт; он в свою очередь скачивает с удаленного сервера CAB-файл, замаскированный под JPEG-картинку, а затем, используя Windows-утилиту expand.exe, извлекает целевую нагрузку — бэкдор.
Исследователи также отметили, что в какой-то момент атакующие решили отказаться от второй ступени заражения и внесли соответствующие коррективы в свой макрос.
Устанавливаемый в результате атаки многофункциональный бэкдор уже известен ИБ-сообществу. Эксперты американской Группы быстрого реагирования на киберинциденты (US-CERT) называют его KEYMARBLE. По сути это инструмент удаленного администрирования, который в данном случае помогает оператору получить информацию с зараженной машины. После запуска он пытается установить соединение в C&C-сервером на порту 443, используя вшитый в код IP-адрес (194[.]45[.]8[.]41).
В режиме ожидания зловред повторяет попытки подключения каждые полчаса. Получив команду, он выходит из цикла и приступает к ее выполнению — сбору и отправке данных, завершению процессов, перезаписи и удалению файлов и т. п.
Примечательно, что для коммуникаций данный вариант KEYMARBLE использует SSL, а команды ему подаются в два приема: вначале высылается сообщение с указанием длины данных, затем — код команды.
• Source: research.checkpoint.com/north-korea-turns-against-russian-targets/
PS: Эксперты уже давно говорят, что «российские правительственные хакеры» — одни из самых продвинутых, когда дело касается различных кибервторжений на государственном уровне. В США убеждены, что именно киберпреступники из России регулярно взламывают правительственные и частные компьютеры. Теперь такого рода позиция нашла отклик в недавнем отчете компании CrowdStrike, которая проанализировала активность хакеров из различных стран.
Согласно результатам исследования специалистов из CrowdStrike, российские хакеры более быстрые и ловкие, чем северокорейские, китайские и иранские киберпреступники.
В ходе своих исследований CrowdStrike замеряла скорость, с которой киберпреступники могли проникнуть в сеть и начать красть данные. Именно этот показатель, по мнению представителей компании, является наиболее важным — ведь в настоящее время вторжения достаточно быстро детектируют и пресекают.
Чем быстрее хакеры проникнут в сеть интересующего их предприятия, тем больше данных им удастся похитить.
«Мы получили довольно удивительные результаты — российские хакеры оказались в восемь раз быстрее, чем хакеры из КНДР», — пишет CrowdStrike в отчете: crowdstrike.com/resources/reports/2019-crowdstrike-global-threat-report/
