Авторизация:


Сообщество людей и технологий
Сегодня у нас: год

Уже есть аккаунт? Войти
Присоединяйся к нашему гик сообществу!

Создай свой блог, делись интересной информацией из мира высоких технологий.

ESET: хакерская группа Lazarus атакует страны Центральной Америки
Статьи, 14-02-2018, 03:43

ESET: хакерская группа Lazarus атакует страны Центральной Америки

Хакерская группировка Lazarus (она же Hidden Cobra) получила широкую известность после кибератаки на Sony Pictures Entertainment в 2014 году. После этого специалисты по информационной безопасности детально изучили и связали эту группу с Северной Кореей и целым рядом инцидентов: эпидемией Wannacry, атаками на банки в Польше и Мексике, фишинговыми атаками на подрядчиков Министерства обороны США и так далее. Во всех этих кампаниях атакующие использовали схожие вредоносные инструменты, включая вайпер KillDisk.

Теперь эксперты ESET изучили инструменты, обнаруженные на серверах и рабочих станциях онлайн-казино в Центральной Америке, и установили их связь с Lazarus. По оценке специалистов, это была сложная многоступенчатая атака с использованием десятков защищенных инструментов.

Один из этих инструментов – бэкдор Win64/NukeSped.W, поддерживающий 20 команд, которые совпадают с функциями ранее изученных образцов Lazarus. Второй – консольное приложение Win64/NukeSped.AB. Анализ подтвердил, что этот файл связан с ПО, использованным в атаках на польские и мексиканские объекты.

Данные инструменты использовались в сочетании с двумя вариантами вайпера KillDisk (Win32/KillDisk.NBO), которой заразил больше ста машин в сети. Исследователи пишут, что есть несколько возможных объяснений появления вайпера: хакеры могли скрывать следы атаки, либо использовать KillDisk для вымогательства или киберсаботажа. В любом случае, масштабное заражение указывает на значительные ресурсы атакующих.

Данные телеметрии ESET, а также одновременное использование Win32/KillDisk.NBO и других известных инструментов Lazarus в зараженной сети указывают на то, что вайпер развернули именно участники Lazarus, а не какая-либо другая кибергруппа.

Среди многочисленных характеристик, которые позволили исследователям приписать авторство малвари и происхождение атак группе Lazarus, отмечают формат строк. В таблице ниже представлены форматированные строки, найденные в вышеупомянутых образцах, а также в других ТСР бэкдорах, связанных с Lazarus:

Сам по себе этот факт не может быть доказательством, но, поискав схожее форматирование строк во всех образцах вредоносного ПО, собранного ESET, эксперты обнаружили их только в образцах, предположительно относящихся к Lazarus. Следовательно, было сделано предположение, что наличие этих строк указывает на авторство Lazarus.

Кроме того, атакующие использовали как минимум два дополнительных инструмента: модифицированную версию Mimikatz для извлечения учетных данных Windows и Browser Password Dump для восстановления паролей из популярных браузеров.

Исследователи пишут, что большинство перечисленных инструментов устанавливалось на рабочие станции с помощью вредоносных дропперов и загрузчиков. Кроме того, были обнаружены индикаторы, указывающие на использование средств удаленного доступа, включая Radmin 3 и LogMeIn, для контроля целевых устройств.

Недавняя атака на онлайн-казино в Центральной Америке позволяет предположить, что группа Lazarus перекомпилирует свои инструменты перед каждой новой кампанией (ранее эксперты не видели идентичных образцов где-либо еще). В ходе этой сложной и многоэтапной атаки использовались десятки защищенных инструментов, которые, будучи автономными, вряд ли продемонстрировали бы такую динамику.


Добавьте комментарий, Ваше мнение очень важно:

Имя:*
E-Mail:
Комментарий:
Вопрос:
rgjrg
Ответ:*
Введите код: *


Самое интересное:
    Гику на заметку:
    Не iPhone самый продаваемый телефон в истории
    Новый планшет BlackBerry PlayBook
    Особенности ремонта айфонов своими руками
    Переделка дачи
    Как выбрать недорогой смартфон
    Зависимость от... мобильного телефона и телевизора
    Востребованные чехлы для ipone 4
    Apple. Истинный лидер или дань моде?
    Чехлы для смартфонов и айфонов
    Вопрос:

    Какой операционкой Вы пользуетесь?

    Windows 8
    Windows 7
    Windows Vista или XP
    Linux
    Mac OS
    Другой

     


    2019 © Cig-bc.ru - Сообщество людей и технологий.

    Все права защищены.

    При цитировании любых материалов, публикуемых в журнале, обязательна ссылка, помещенная не ниже первого абзаца текста. При копировании новостных материалов для интернет-изданий обязательна прямая открытая для поисковых систем гиперссылка, размещаемая вне зависимости от объема используемых материалов (полного или частичного). Рекламная статья со ссылкой на ваш ресурс/продукт — 500 рублей/1000 символов (статья будет висеть вечно, в качестве обзорной). Для заказа пишите на sales@elenazavyalova.ru!

    Категории:

    Новости IT
    Гаджеты
    Железо
    Софт
    Игры
    Информация:

    О проекте
    Регистрация
    Статистика
    Карта сайта
    RSS
    Контакт:

    Обратная связь
    Email: admin@cig-bc.ru
    Email: sotnik200854@gmail.com