Три трояна Lazarus: новая угроза для финансового сектора

Атака начинается с социальной инженерии: злоумышленники impersonируют сотрудников инвестиционных компаний через Telegram, предлагая жертвам воспользоваться поддельными сайтами для планирования встреч, такими как Calendly и Picktime. После установления контакта происходит компрометация устройства. В одном из случаев эксперты предположили использование уязвимости нулевого дня (zero-day) в Chrome, что позволило избежать обнаружения.

На скомпрометированное устройство загружается PondRAT - простой, но эффективный троян, используемый для развёртывания дополнительных вредоносных программ. PondRAT взаимодействует с сервером управления через зашифрованные HTTP-запросы и позволяет выполнять базовые команды: чтение и запись файлов, запуск процессов и выполнение шелл-кода. Анализ показал, что PondRAT во многом наследует функциональность более раннего POOLRAT (известного также как SimpleTea), включая схожие механизмы шифрования и генерации идентификаторов.

Вторым этапом атаки становится внедрение ThemeForestRAT - более сложного инструмента, который, судя по всему, функционирует исключительно в оперативной памяти, что затрудняет его обнаружение. ThemeForestRAT поддерживает свыше 20 команд, включая сбор системной информации, управление файлами, перехват сессий RDP и инъекции шелл-кода. Этот троян оставался в тени более пяти лет и не был ранее документирован в открытых источниках.

После трёх месяцев активности в системе злоумышленники удалили следы PondRAT и ThemeForestRAT, заменив их на RemotePE - ещё более продвинутый троян, использующий шифрование через Windows DPAPI (Data Protection API) для затруднения анализа. RemotePE демонстрирует высокий уровень операционной безопасности и, вероятно, применяется для особо ценных целей.

Во всех случаях атакующие использовали как собственные разработки, так и публичные инструменты, включая Mimikatz для кражи учётных данных и frpc (Fast Reverse Proxy) для организации прокси-соединений. Устойчивость группировки, наличие долгосрочных операций и применение сложных механизмов уклонения от обнаружения подчёркивают её опасность для глобальной финансовой инфраструктуры.

Эксперты рекомендуют усилить меры безопасности, обращать внимание на фишинговые атаки в мессенджерах и обеспечить актуальное обновление систем для защиты от уязвимостей. Полный технический анализ RemotePE будет опубликован в ближайшее время.

IPv4

• 144.172.74.120
• 192.52.166.253

Domains

• aes-secure.net
• arcashop.org
• azuredeploypackages.net
• azureglobalaccelerator.com
• calendly.com
• calendly.live
• dpkgrepo.com
• ftxstock.com
• go.oncehub.co
• jdkgradle.com
• keondigital.com
• latamics.org
• lmaxtrd.com
• nansenpro.org
• oncehub.co
• oncehub.com
• paxosfuture.com
• picktime.com
• picktime.live
• pypilibrary.com
• pypistorage.com
• www.natefi.org
• www.plexisco.com

SHA256

• 159471e1abc9adf6733af9d24781fbf27a776b81d182901c2e04e28f3fe2e6f3
• 1a051e4a3b62cd2d4f175fb443f5172da0b40af27c5d1ffae21fde13536dd3e1
• 24d5dd3006c63d0f46fb33cbc1f576325d4e7e03e3201ff4a3c1ffa604f1b74a
• 2c164237de4d5904a66c71843529e37cea5418cdcbc993278329806d97a336a5
• 37f5afb9ed3761e73feb95daceb7a1fdbb13c8b5fc1a2ba22e0ef7994c7920ef
• 3c8f5cc608e3a4a755fe1a2b099154153fb7a88e581f3b122777da399e698cca
• 4715e5522fc91a423a5fcad397b571c5654dc0c4202459fdca06841eba1ae9b3
• 4f6ae0110cf652264293df571d66955f7109e3424a070423b5e50edc3eb43874
• 59a651dfce580d28d17b2f716878a8eff8d20152b364cf873111451a55b7224d
• 5e40d106977017b1ed235419b1e59ff090e1f43ac57da1bb5d80d66ae53b1df8
• 6510d460395ca3643133817b40d9df4fa0d9dbe8e60b514fdc2d4e26b567dfbd
• 7a05188ab0129b0b4f38e2e7599c5c52149ce0131140db33feb251d926428d68
• 85045d9898d28c9cdc4ed0ca5d76eceb457d741c5ca84bb753dde1bea980b516
• 8c3c8f24dc0c1d165f14e5a622a1817af4336904a3aabeedee3095098192d91f
• 973f7939ea03fd2c9663dafc21bb968f56ed1b9a56b0284acf73c3ee141c053c
• 9dddf5a1d32e3ba7cc27f1006a843bfd4bc34fa8a149bcc522f27bda8e95db14
• aa4a2d1215f864481994234f13ab485b95150161b4566c180419d93dda7ac039
• c66ba5c68ba12eaf045ed415dfa72ec5d7174970e91b45fda9ebb32e0a37784a
• cc4c18fefb61ec5b3c69c31beaa07a4918e0b0184cb43447f672f62134eb402b
• d998de6e40637188ccbb8ab4a27a1e76f392cb23df5a6a242ab9df8ee4ab3936
• e4ce73b4dbbd360a17f482abcae2d479bc95ea546d67ec257785fa51872b2e3f
• f0321c93c93fa162855f8ea4356628eef7f528449204f42fbfa002955a0ba528
• f4d8e1a687e7f7336162d3caed9b25d9d3e6cfe75c89495f75a92ca87025374b
• ff32bc1c756d560d8a9815db458f438d63b1dcb7e9930ef5b8639a55fa7762c9