В новой кампании Lazarus Group северокорейская группировка продолжает использовать ту же инфраструктуру, несмотря на то, что эти компоненты были хорошо задокументированы исследователями безопасности на протяжении многих лет. Постоянное использование одних и тех же тактик, приемов и процедур (TTP), многие из которых известны широкой публике, свидетельствует об уверенности группы в своих операциях и открывает возможности для исследователей безопасности.
- В своей последней кампании Lazarus Group северокорейский государственный агент использует CVE-2022-47966, уязвимость ManageEngine ServiceDesk, для развертывания множества угроз. Помимо вредоносной программы "QuiteRAT", Cisco Talos также обнаружила новую угрозу под названием "CollectionRAT".
- CollectionRAT обладает стандартными возможностями трояна удаленного доступа (RAT), в том числе способностью выполнять произвольные команды на зараженной системе. По результатам нашего анализа, CollectionRAT, по-видимому, связан с Jupiter/EarlyRAT - еще одним семейством вредоносных программ, о котором недавно писал Касперский и которое приписывается Andariel, подгруппе, входящей в состав Lazarus Group.
- Похоже, что Lazarus Group меняет свою тактику, все больше полагаясь на инструменты и фреймворки с открытым исходным кодом на этапе первоначального доступа к атакам, в отличие от их строгого использования на этапе после компрометации.
- Одним из примеров такой тенденции является использование Lazarus Group фреймворка DeimosC2 с открытым кодом. Агент DeimosC2, обнаруженный Cisco Talos в этой кампании, представляет собой двоичный файл ELF, что свидетельствует о намерении Lazarus развернуть этот имплант на этапе первоначального доступа к скомпрометированным конечным точкам Linux.
Indicators of Compromise
IPv4
- 109.248.150.13
- 146.4.21.94
IPv4 Port Combinations
- 108.61.186.55:443
URLs
- http://109.248.150.13/EsaFin.exe
- http://146.4.21.94/boards/boardindex.php
- http://146.4.21.94/editor/common/cmod
- http://146.4.21.94/tmp/tmp/comp.dat
- http://146.4.21.94/tmp/tmp/log.php
- http://146.4.21.94/tmp/tmp/logs.php
- http://ec2-15-207-207-64.ap-south-1.compute.amazonaws.com/resource/main/rawmail.php
SHA256
- 05e9fe8e9e693cb073ba82096c291145c953ca3a3f8b3974f9c66d15c1a3a11d
- 773760fd71d52457ba53a314f15dddb1a74e8b2f5a90e5e150dea48a21aa76df
- db6a9934570fa98a93a979e7e0e218e0c9710e5a787b18c6948f2eedd9338984
- e3027062e602c5d1812c039739e2f93fc78341a67b77692567a4690935123abe
- ed8ec7a8dd089019cfd29143f008fa0951c56a35d73b2e1b274315152d0c0ee6