В течение последних нескольких лет группа Lazarus, известная своим вредоносным программным обеспечением, продолжала распространять его через поддельные вакансии, направленные на различные отрасли. Одна из их кампаний, получившая название DeathNote или «Операция DreamJob», уже была известна широкой публике. Недавно была замечена похожая атака, при которой группа Lazarus в течение месяца рассылала вредоносные архивные файлы двум сотрудникам организации, связанной с ядерной отраслью. При изучении этой атаки была обнаружена сложная цепочка инфицирования, свидетельствующая об эволюции методов доставки и улучшении стойкости.
Lazarus APT
Исследователи обнаружили значительные изменения в цепочке инфицирования. Lazarus использовала как новые, так и старые образцы вредоносного ПО для адаптации своих атак. В своих предыдущих кампаниях Lazarus, как было выяснено, применяла два метода: рассылку вредоносных документов и троянизированных PDF-просмотрщиков, а также распространение троянских инструментов удаленного доступа. Однако, в последней атаке группа полностью изменила цепочку инфицирования. Цели получили архивные файлы, связанные с оценкой навыков для ИТ-позиций в известных аэрокосмических и оборонных компаниях. Двум сотрудникам были доставлены архивные файлы, однако только в одном из них была найдена троянская утилита VNC. Отметим также, что Lazarus использовала файлы в формате ISO, чтобы избежать обнаружения архивов ZIP.
Первый архивный файл содержал вредоносную версию программы TightVNC, а второй – легитимный vncviewer.exe от UltraVNC и вредоносную DLL. После запуска троянской версии TightVNC, которая требовала ввода IP-адреса, открылось окно VNC, где хранились ключ и пароль. Скорее всего, жертвы получили инструкцию использовать IP-адрес через мессенджеры, такие как LinkedIn, Telegram или WhatsApp. После ввода IP-адреса, происходило расшифрование вредоносных данных и загрузка в память AmazonVNC.exe для дальнейших вредоносных операций.
Однако, Lazarus не останавливается на достигнутом и продолжает совершенствовать свои атаки. Исследователи заметили, что в качестве полезной нагрузки в атаке использовалась вредоносная программа MISTPEN, которая была описана ранее компанией Mandiant. Она была связана с C2 и использовала формат, аналогичный полезной нагрузке на сервере MISTPEN. Также была обнаружена полезная нагрузка RollMid, описанная в отчете от компании Avast, а также новый вариант LPEClient. Весьма вероятно, что Lazarus будет продолжать свои атаки и использует все более совершенное вредоносное ПО.
Indicators of Compromise
MD5
- 00a2952a279f9c84ae71367d5b8990c1
- 0ee8246de53c20a424fb08096922db08
- 1315027e1c536d488fe63ea0a528b52d
- 2b2cbc8de3bdefcd7054f56b70ef58b4
- 37973e29576db8a438250a156977ccdf
- 4c4abe85a1c68ba8385d2cb928ac5646
- 57453d6d918235adb66b896e5ab252b6
- 5eac943e23429a77d9766078e760fc0b
- 739875852198ecf4d734d41ef1576774
- 778942b891c4e2f3866c6a3c09bf74f4
- 80ab98c10c23b7281a2bf1489fc98c0d
- b0e795853b655682483105e353b9cd54
- bf5a3505273391c5380b3ab545e400eb
- c6323a40d1aa5b7fe95951609fb2b524
- cf8c0999c148d764667b1a269c28bdcb
- d966af7764dfeb8bf2a0feea503be0fd
- e0dd4afb965771f8347549fd93423985
- e6a1977ecce2ced5a471baa52492d9f3
- fdc5505d7277e0bf7b299957eadfd931
