Скрытая угроза в коде: Lazarus Group маскирует вредоносное ПО через языки, безопасные для памяти

Cвязанные с Северной Кореей и известные как Lazarus Group хакеры вновь попали на радары исследователей безопасности. Всему виной новая вредоносная кампания глобальных масштабов, которую организовали эти киберпреступники.

Кампания включает в себя использование уязвимости в библиотеке Log4j, неутешительную статистику по безопасности которой мы публиковали ранее. Ошибка Log4Shell ( CVE-2021-44228 ) на этот раз применяется хакерами для развёртывания троянских программ удалённого доступа (RAT) на скомпрометированных хостах.

Исследователи Cisco Talos отслеживают эту активность под названием «Operation Blacksmith», отмечая использование киберзлодеями сразу трех семейств вредоносного ПО на базе Dlang.

Последние тактики Lazarus специалисты описывают как определённый сдвиг, явно пересекающийся с деятельностью группы Andariel (также известной как Onyx Sleet или Silent Chollima), являющейся подгруппой Lazarus.

«Andariel обычно занимается первоначальным доступом, разведкой и установлением долгосрочного доступа для шпионажа в интересах правительства Северной Кореи», — говорится в техническом отчёте исследователей Talos.

Цепочки атак включают использование CVE-2021-44228 против общедоступных серверов VMWare Horizon для доставки NineRAT. К основным отраслям, подвергшимся атакам, относятся производство, сельское хозяйство и физическая безопасность.

Использование Log4Shell неудивительно, учитывая, что 2.8% приложений всё ещё используют уязвимые версии библиотеки спустя два года после выхода исправления.

NineRAT, разработанный в мае 2022 года, был впервые использован в марте 2023 года в атаке на сельскохозяйственную организацию в Южной Америке. Затем вредонос был снова применён сентябре 2023 года на европейскую производственную компанию. Как сообщается, для уклонения от обнаружения хакеры использовали Telegram в качестве канала для отправки вредоносных команд.

Вредоносное ПО действует как основное средство взаимодействия с заражённой конечной точкой, позволяя атакующим отправлять команды для сбора информации о системе, загрузки файлов, скачивания дополнительных файлов и даже удаления и обновления самого себя.

«Как только NineRAT активируется, он принимает первоначальные команды с C2-канала в Telegram, чтобы снова собрать цифровые отпечатки заражённых систем», — отмечают исследователи.

Также в атаках был замечен специальный прокси-инструмент под названием HazyLoad, ранее идентифицированный Microsoft как используемый Lazarus в рамках своих вторжений, эксплуатирующих критические уязвимости в JetBrains TeamCity. HazyLoad загружается и выполняется с помощью другого вредоносного ПО под названием BottomLoader.

Кроме того, в рамках Operation Blacksmith наблюдается доставка вредоноса DLRAT, который является как загрузчиком, так и трояном удалённого доступа, способным проводить разведку системы, разворачивать дополнительное вредоносное ПО и получать команды от C2-сервера.

Рассмотренная вредоносная кампания наглядно демонстрирует насколько опасно игнорировать уязвимости в программном обеспечении. Хотя исправление для Log4Shell появилось два года назад, хакеры по-прежнему эксплуатируют его для проникновения в сети, потому что разработчики не сочли нужным вовремя обновить библиотеку в разрабатываемых продуктах.

Компаниям следует регулярно обновлять своё ПО и тщательно следить за новыми угрозами. Также важно использовать современные средства защиты, такие как антивирусы и системы обнаружения вторжений. Безопасность любой современной компании должна стоять во главе угла.