Недавно Cisco Talos обнаружила новую кампанию Lazarus Group, которую мы назвали "Operation Blacksmith". В ней задействованы как минимум три новых семейства вредоносных программ на базе DLang, два из которых представляют собой трояны удаленного доступа (RAT), причем один из них использует ботов и каналы Telegram в качестве средства командно-контрольной связи (C2).
- Cisco Talos обозначают эту Telegram-троянскую РАТ как "NineRAT", а РАТ, не основанную на Telegram, - как "DLRAT". Загрузчик на базе DLang мы обозначаем как "BottomLoader".
- Последние находки свидетельствуют об окончательном изменении тактики северокорейской APT-группы Lazarus Group. За последние полтора года Talos обнаружила три различных трояна удаленного доступа (RAT), созданных с использованием необычных технологий, таких как QtFramework, PowerBasic и, теперь, DLang.
- Talos заметила совпадение наших находок в этой кампании, проводимой Lazarus, включая тактику, методы и процедуры (TTPs), соответствующие северокорейской государственной группе Onyx Sleet (PLUTIONIUM), также известной как APT-группа Andariel. Andariel широко рассматривается как подгруппа APT под зонтиком Lazarus.
- Эта кампания заключается в постоянных оппортунистических атаках на предприятия по всему миру, которые публично размещают и подвергают свою уязвимую инфраструктуру эксплуатации уязвимостей n-day, таких как CVE-2021-44228 (Log4j).
- По наблюдениям Cisco Talos, Lazarus атакует производственные, сельскохозяйственные и охранные компании.
Indicators of Compromise
IPv4
- 155.94.208.209
- 162.19.71.175
- 185.29.8.53
- 201.77.179.66
- 27.102.113.93
Domains
- tech.micrsofts.com
- tech.micrsofts.tech
URLs
- http://162.19.71.175:7443/sonic/bottom.gif
- http://201.77.179.66:8082/img/images/header/7AEBC320998FD5E5.gif
- http://201.77.179.66:8082/img/images/header/B691646991EBAEEC.gif
- http://201.77.179.66:8082/img/lndex.php
- http://27.102.113.93/inet.txt
SHA256
- 000752074544950ae9020a35ccd77de277f1cd5026b4b9559279dc3b86965eee
- 0e416e3cc1673d8fc3e7b2469e491c005152b9328515ea9bbd7cf96f1d23a99f
- 47e017b40d418374c0889e4d22aa48633b1d41b16b61b1f2897a39112a435d30
- 534f5612954db99c86baa67ef51a3ad88bc21735bce7bb591afa8a4317c35433
- 5b02fc3cfb5d74c09cab724b5b54c53a7c07e5766bffe5b1adf782c9e86a8541
- 82d4a0fef550af4f01a07041c16d851f262d859a3352475c62630e2c16a21def
- 9a48357c06758217b3a99cdf4ab83263c04bdea98c347dd14b254cab6c81b13a
- ba8cd92cc059232203bcadee260ddbae273fc4c89b18424974955607476982c4
- e615ea30dd37644526060689544c1a1d263b6bb77fe3084aa7883669c1fde12f
- f91188d23b14526676706a5c9ead05c1a91ea0b9d6ac902623bc565e1c200a59