С двух лет назад (март 2021 года) штаммы вредоносного ПО группы Lazarus были обнаружены в различных корейских компаниях, связанных с национальной обороной, спутниками, программным обеспечением, медиа-прессой и т.д.. Таким образом, ASEC (AhnLab Security Emergency Response Center) преследует и анализирует деятельность угрожающей группы Lazarus и связанные с ней вредоносные программы.
Пострадавшая компания в данном случае была инфильтрирована группой Lazarus в мае 2022 года и была повторно инфильтрирована недавно через уязвимость 0-Day в том же программном обеспечении. Во время проникновения в мае 2022 года пострадавшая компания использовала уязвимую версию программы сертификации, которая обычно используется государственными учреждениями и университетами. После инцидента они обновили все свое программное обеспечение до последних версий. Однако в этот раз группа Lazarus использовала уязвимость 0-Day в программном обеспечении для осуществления своего проникновения.
Мы в ASEC подали отчет о данном программном обеспечении в KISA, но поскольку уязвимость еще не полностью проверена, а патч не выпущен, мы опустим производителя и программное обеспечение в этом сообщении.
Команда проанализировала и другие случаи, но если собрать вместе несколько инцидентов, которые еще не были раскрыты, можно сделать вывод, что группа Lazarus исследует уязвимости различных других программ и постоянно меняет свой TTP, изменяя способы отключения продуктов безопасности и применения антикриминалистических методов, чтобы помешать или задержать обнаружение и анализ с целью проникновения в корейские учреждения и компании.
Indicators of Compromise
IPv4
- 111.92.189.48
- 114.108.129.89
- 115.68.52.47
- 121.78.158.46
- 121.78.246.155
- 183.110.224.172
Domains
- ctmnews.kr
- dalbinews.co.kr
- www.artinsight.co.kr
- www.kfcjn.com
- www.scope.co.kr
- www.studyholic.com
MD5
- 27db56964e7583e19643bf5c98fffd52
- 61b3c9878b84706db5f871b4808e739a
- 6ea4e4ab925a09e4c7a1e80bae5b9584
- a6602ef2f6dc790ea103ff453eb21024
- bd47942e9b6ad87eb5525040db620756
- c7256a0fbab0f437c3ad4334aa5cde06
- fc8b6c05963fd5285bce6ed51862f125