Lazarus вновь атакует, используя незакрытые уязвимости в легитимном софте

Татьяна Никитина 08 Ноября 2023 - 19:44

Корпорации

Государство

Лаборатория Касперского

Эксплойты

Бэкдоры

Целевые атаки

Таргетированные атаки

...

Lazarus вновь атакует, используя незакрытые уязвимости в легитимном софте

На конференции SAS в Таиланде «Лаборатория Касперского» представила результаты анализа новой киберкампании Lazarus. Злоумышленники атакуют представителей промышленного сектора, используя уязвимости в софте для шифрования веб-коммуникаций.

Патчи для этого продукта вышли давно, однако многие пользователи, как случается, продолжают довольствоваться версиями софта, в которых уязвимости не исправлены. Целью новых эксплойт-атак Lazarus является внедрение зловреда SIGNBT с функциями бэкдора для кражи учетных данных.

Развертывание вредоноса осуществляется с использованием техники DLL side-loading, позволяющей обойти защиту Windows. С его помощью в систему дополнительно загружаются инструмент профилирования жертв LPEClient, уже известный по прежним атакам Lazarus, а также утилиты для выгрузки учетных данных из памяти.

Как показал дальнейший анализ, злоумышленники несколько раз взламывали сети разработчика софта, служащего точкой входа в текущих атаках. Эксперты полагают, что Lazarus пыталась таким образом добраться до исходных кодов и вмешаться в цепочку поставок.

«Продолжающиеся атаки Lazarus — свидетельство того, что злоумышленники обладают серьёзными техническими возможностями и сильной мотивацией, — комментирует эксперт Kaspersky Сонгсу Парк (Seongsu Park). — Они действуют по всему миру, целясь в разные организации из промышленного сектора, и используют для этого разнообразные методы. Угроза сохраняется и постоянно эволюционирует, что требует особой бдительности».

Защититься от целевых атак помогут рекомендации «Лаборатории Касперского»:

регулярно обновлять ОС, приложения и защитный софт;
обучать сотрудников с осторожностью относиться к электронным письмам, сообщениям или звонкам, в которых просят сообщить конфиденциальную информацию;
проверять личность отправителей перед тем, как передавать им свои данные или переходить по подозрительным ссылкам;
использовать надёжное решение для защиты рабочих мест, такое как Kaspersky Security для бизнеса;
обеспечить доступ к базе данных об угрозах (threat intelligence) специалистам SOC-центра;
повышать уровень знаний ИБ-команды с помощью тренингов;
использовать EDR-решения для обнаружения угроз на конечных устройствах, расследования и своевременного восстановления после инцидентов.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 14 Июня 2024 - 17:31

Сбои программ Домашние пользователи Корпорации

Сбой Авито объяснили техническими работами

Сегодня днем, 14 июня, лег сайт объявлений «Авито», а его приложение при входе стало выдавать ошибку. В ответ на попытки прояснить ситуацию операторы веб-сервиса сослались на технические причины и пообещали, что проблемы скоро закончатся.

По данным подведомственного Роскомнадзору Центра мониторинга мониторинга и управления сетью связи общего пользования (ЦМУ ССОП), пользователи начали испытывать проблемы с входом в приложение «Авито» и с доступом к сервисам около 15:00 по Москве.

Сбои наблюдались на большей части России, больше всего жалоб поступало из Московского региона, Краснодара и Санкт-Петербурга.

В ответ на запрос ТАСС в пресс-службе «Авито» заявили, что работа уже полностью восстановлена:

«Друзья! У кого возникли сложности с нашими сервисами: мы уже разобрались. Тот случай, когда переборщили с безопасностью - поставили слишком агрессивные настройки на защиту сервисов. Систему уже восстановили. Все работает».

В настоящее время сайт avito.ru загружается без проблем, приложение тоже работает (проверено).