Северокорейская хакерская группа Lazarus неоднократно атаковала одного из производителей программного обеспечения, используя дефекты в уязвимом ПО, несмотря на многочисленные исправления и предупреждения со стороны разработчика.
Тот факт, что Lazarus несколько раз атаковала одну и ту же жертву, указывает на то, что целью хакеров была кража исходного кода или атака по цепочке поставок.
"Этот повторяющийся взлом говорит о том, что хакер имел постоянную и решительную цель похитить ценный исходный код или вмешаться в цепочку поставок программного обеспечения, и он продолжал использовать уязвимости в программном обеспечении компании, одновременно атакуя других производителей ПО", - поясняет Касперский.
Атака была обнаружена Касперским в июле 2023 года, при этом было замечено, что Lazarus использовал разнообразную цепочку заражения и набор инструментов после компрометации.
Касперский относит эту атаку к более широкому спектру кампаний, в рамках которых Lazarus атаковал различных производителей программного обеспечения в период с марта 2023 года по август 2023 года.
Вредоносные программы SIGNBT и LPEClient
В отчете упоминается, что Lazarus атаковал легитимное ПО, используемое для шифрования веб-коммуникаций. Однако какой именно метод эксплуатации использовали хакеры, остается неизвестным.
Эксплуатация привела к развертыванию вредоносной программы SIGNBT вместе с шелл-кодом, используемым для внедрения полезной нагрузки в память для скрытого исполнения.
Устойчивость обеспечивается путем добавления вредоносной DLL-библиотеки ('ualapi.dll') в Startup для выполнения командой 'spoolsv.exe' или внесения изменений в реестр Windows.
Вредоносный DLL-файл выполняет проверку идентификационных данных жертвы перед расшифровкой и загрузкой полезной нагрузки SIGNBT по пути локальной файловой системы, что обеспечивает дальнейшее заражение целевых объектов.
Свое название SIGNBT получил благодаря отдельным строкам, которые он использует для командно-адресной связи (C2), передавая информацию о скомпрометированной системе и получая команды для выполнения.
SIGNBT поддерживает следующие команды:
- CCBrush : выполняет такие функции, как получение информации о системе, тестирование возможности подключения и настройка параметров.
- CCList : Управляет процессами, включая получение списка запущенных процессов, уничтожение процессов, запущенных файлов и манипуляции с DLL.
- CCComboBox : Работа с файловой системой, в том числе получение списков дисков, изменение свойств файлов и создание новых папок.
- CCButton : Загрузка и выгрузка файлов, загрузка в память и захват экрана.
- CCBitmap : Реализует часто используемые команды и утилиты Windows.
SIGNBT также может получать дополнительные полезные нагрузки из C2 и разворачивать их на хосте, что придает Lazarus универсальность в работе.
По данным Касперского, Lazarus использовал эту функцию SIGNBT для загрузки на скомпрометированные системы средств дампинга учетных данных и вредоносной программы LPEClient.
LPEClient - это программа для кражи информации и загрузки вредоносных программ, которая, по словам Касперского, в своих последних версиях демонстрирует значительную эволюцию по сравнению с ранее задокументированными образцами.
"Теперь он использует передовые технологии для повышения скрытности и избежания обнаружения, такие как отключение перехвата системных вызовов в пользовательском режиме и восстановление участков памяти системных библиотек", - отмечает Касперский.
По словам Касперского, Lazarus использует LPEClient и в других кампаниях, проведенных в 2023 году, хотя на более ранних этапах заражения она использовала эту вредоносную программу для внедрения других полезных нагрузок.
В целом группа Lazarus остается одним из наиболее активных и опасных субъектов угроз, сохраняя широкую направленность на различные регионы и отрасли.
Последние действия этой группировки свидетельствуют о ее изощренной тактике и настойчивости в достижении поставленных целей, подчеркивая необходимость проактивного исправления программного обеспечения и предотвращения легкого использования уязвимостей для первоначальной компрометации.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!