Летом 2023 года компания Avast обнаружила кампанию, в которой группа Lazarus направляла сфабрикованные предложения о работе на конкретных людей в азиатском регионе. Атаки были направлены на людей с техническим образованием. Исследования показали, что атаки использовали уязвимые драйверы и руткит-методы для блокировки средств защиты. Частью атаки была уязвимость в драйвере Windows - appid.sys.
Атаки группы Lazarus были особенно изощрены и использовали безфайловое вредоносное ПО. Арсенал инструментов был зашифрован на жестком диске злоумышленников. Характер атаки указывает на то, что жертвы были тщательно выбраны и атаки были очень целенаправленными. Анализ атак позволил установить связь между арсеналом инструментов группы Lazarus и предыдущими исследованиями.
Атаки начинались с отправки сфабрикованных предложений о работе через различные коммуникационные платформы, такие как LinkedIn, WhatsApp и электронная почта. Вредоносный ISO-файл, замаскированный под VNC-инструмент, отправлялся потенциальным жертвам. ISO-файл монтировался автоматически при открытии и содержал исполняемый файл AmazonVNC.exe, который представлял себе легитимное приложение choice.exe. Исполняемый файл запускался, и загружалась вредоносная DLL, которая в дальнейшем порождала процесс iexpress.exe для размещения вредоносной полезной нагрузки.
Инъекция вредоносной полезной нагрузки выполнялась только в случае, если на компьютере жертвы был установлен антивирус Касперского. Обход обнаружения Касперского был одной из целей атак. Затем загружался файл aws.cfg, который содержал следующий этап полезной нагрузки. Программа могла загружать шеллкод с командно-контрольного сервера.
Indicators of Compromise
SHA256
- 01ca7070bbe4bfa6254886f8599d6ce9537bafcbab6663f1f41bfc43f2ee370e
- 7248d66dea78a73b9b80b528d7e9f53bae7a77bad974ededeeb16c33b14b9c56
- 9a4bc647c09775ed633c134643d18a0be8f37c21afa3c0f8adf41e038695643e
- a3fe80540363ee2f1216ec3d01209d7c517f6e749004c91901494fb94852332b
- a75399f9492a8d2683d4406fa3e1320e84010b3affdff0b8f2444ac33ce3e690
- b8a4c1792ce2ec15611932437a4a1a7e43b7c3783870afebf6eae043bcfade30
- e68ff1087c45a1711c3037dad427733ccb1211634d070b03cb3a3c7e836d210f
- f47f78b5eef672e8e1bd0f26fb4aa699dec113d6225e2fcbd57129d6dada7def