Lazarus
Летом 2023 года компания Avast обнаружила кампанию, в которой группа Lazarus направляла сфабрикованные предложения о работе на конкретных людей в азиатском регионе. Атаки были направлены на людей с техническим образованием. Исследования показали, что атаки использовали уязвимые драйверы и руткит-методы
Lazarus, которая использует технику боковой загрузки DLL для атак на южнокорейские компании и учреждения. Это метод, при котором вредоносная DLL выполняется первой, заменяя имя файла легитимной DLL. Недавно была обнаружена новая легитимная программа под названием "wmiapsrv.
В начале этого года один из производителей программного обеспечения был скомпрометирован вредоносной программой Lazarus, распространяемой через непропатченное легитимное программное обеспечение. Примечательно, что эти уязвимости не были новыми, и, несмотря на предупреждения и исправления со стороны производителя
Угрожающая группа Lazarus, которая, судя по всему, спонсируется государством, ведет свою деятельность с 2009 года. На первых порах ее деятельность была сосредоточена в основном в Корее, но с 2016 года она стала атаковать оборонный сектор, сектор передовых технологий и финансовый сектор по всему миру.
При анализе атаки Lazarus, выманивающей сотрудников аэрокосмической компании, исследователи ESET обнаружили публично недокументированный бэкдор.
В новой кампании Lazarus Group северокорейская группировка продолжает использовать ту же инфраструктуру, несмотря на то, что эти компоненты были хорошо задокументированы исследователями безопасности на протяжении многих лет. Постоянное использование одних и тех же тактик, приемов и процедур (TTP), многие
ASEC обнаружил, что группа Lazarus, которая считается финансируемой государством, атакует веб-серверы Windows Internet Information Service (IIS) и использует их в качестве точек распространения своего вредоносного ПО.
GitHub выявил маломасштабную кампанию социальной инженерии, направленную на личные учетные записи сотрудников технологических компаний с использованием комбинации приглашений в репозитории и вредоносных зависимостей пакетов npm. Многие из этих аккаунтов связаны с сектором блокчейна, криптовалют или онлайн-гемблинга.
В ходе мониторинга деятельности атакующей группы Lazarus, Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security (ASEC) вновь подтвердил использование 0-day уязвимостей VestCert и TCO!Stream в дополнение к INISAFE CrossWeb EX и MagicLine4NX, которые ранее использовались для атак.
Центр экстренного реагирования безопасности AhnLab (ASEC) недавно подтвердил, что группа Lazarus, известная своей поддержкой в национальном масштабе, осуществляет атаки на веб-серверы Windows IIS. Обычно, когда субъекты угроз проводят сканирование и находят веб-сервер с уязвимой версией, они используют