Группа Lazarus
Группа Lazarus, группа продвинутых постоянных угроз (APT), которую приписывают правительству Северной Кореи. Наблюдала за проведением двух отдельных кампаний, которые были названы цепные кибератаки, чтобы закрепиться в корпоративных сетях и заразить нижестоящие организации.
Последняя операция по сбору разведданных включала использование вредоносной среды MATA, а также бэкдоров, получивших название BLINDINGCAN и COPPERHEDGE, для атаки на оборонную промышленность, поставщика решения для мониторинга ИТ активов, базирующегося в Латвии, и аналитический центр, расположенный в Южной Корее, согласно новому Отчет Лаборатории Касперского о APT Trends за третий квартал 2021 года.
Недостаточно фактов
Неясно, вмешался ли Lazarus в программное обеспечение ИТ поставщика для распространения имплантатов. Или группа злоупотребила доступом к сети компании, чтобы нарушить работу других клиентов. Российская компания по кибербезопасности отслеживает кампанию в кластере DeathNote.
И это не все. В рамках другой кампании кибершпионажа, злоумышленник также был замечен. Он использовал многоплатформенную вредоносную среду MATA для выполнения ряда вредоносных действий на зараженных машинах. «Актер предоставил троянскую версию приложения, которое, как известно, использовалось выбранной жертвой, что представляет собой известную характеристику Lazarus», отметили исследователи.
Согласно предыдущим выводам «Лаборатории Касперского». Компания MATA способна поразить операционные системы Windows, Linux и macOS. При этом цепные кибератаки и их инфраструктура позволяет злоумышленнику выполнять многоэтапную цепочку заражения. Она же выполняется загрузкой дополнительных плагинов. Они позволяют доступ к огромному количеству информации, включая файлы, хранящиеся на устройстве. А так же извлечение конфиденциальной информации из базы данных. Помимо этого, внедрение произвольных библиотек DLL.
Кто ещё участвовал?
Помимо Lazarus, китайскоязычный злоумышленник APT. Предполагает HoneyMyte, использовал ту же тактику. В которой установочный пакет программного обеспечения сканера отпечатков пальцев был изменен для установки бэкдора PlugX на сервере распространения. Принадлежащем правительственному агентству в неназванной стране в Южной Азии. Касперский назвал инцидент в цепочке поставок «SmudgeX».
К заключению, хотелось добавить. Развитие происходит по мере того, как кибератаки, нацеленные на цепочку поставок ИТ. Нападения стали главной проблемой сразу после вторжения SolarWinds в 2020 году. Подчеркнув необходимость принятия строгих правил безопасности и принятия превентивных мер для защиты корпоративных сред.
