ПО под контролем Северной Кореи: Lazarus использует ваши собственные инструменты против вас

Специалисты Лаборатории Касперского приписали северокорейской группировке Lazarus новую кампанию, в ходе которой неназванный поставщик ПО был скомпрометирован посредством использования уязвимостей в другом программном обеспечении.

По словам исследователей, кульминацией атак стало развертывание семейств вредоносных программ, таких как SIGNBT и LPEClient. Последний используется группой для профилирования жертв и доставки полезных нагрузок.

В Лаборатории Касперского отметили, что компания, разработавшая уязвимое ПО, ранее уже несколько раз становилась жертвой Lazarus, что указывает на попытку украсть исходный код или скомпрометировать цепочку поставок программного обеспечения, как в случае с атакой на цепочку поставок 3CX.

Группа Lazarus продолжала использовать уязвимости в ПО компании, одновременно атакуя других производителей ПО. По состоянию на середину июля 2023 года было выявлено несколько жертв.

По словам специалистов, жертвы были атакованы с помощью легитимного средства безопасности, предназначенного для шифрования веб-коммуникаций с использованием цифровых сертификатов. Название ПО не разглашается, а точный механизм распространения SIGNBT остается неизвестным.

Помимо использования различных тактик для установления и поддержания устойчивости, цепочки атак используют загрузчик для запуска вредоносного ПО SIGNBT, основная функция которого — установить контакт с удаленным сервером и получить дальнейшие команды для выполнения на зараженном хосте.

Бэкдор оснащен широким набором возможностей для контроля над системой жертвы. Сюда входит перечисление процессов, операции с файлами и каталогами, а также развертывание полезных нагрузок, в том числе LPEClient и различных утилит для сбора учетных данных. Отмечается, что LPEClient являлся основным инструментом для доставки вредоносного ПО на последней стадии атак как минимум в 3 разных кампаниях группы в 2023 году.

Одна из таких кампаний проложила путь к внедрению имплантата Gopuram, который использовался в кибератаках на криптовалютные компании с использованием троянизированной версии ПО для голосовой связи и видеоконференций 3CX.