ЛК помогает остановить кампании кибершпионажа Lazarus

ЛК помогает остановить кампании кибершпионажа Lazarus

«Лаборатория Касперского» помогает пресечь деятельность кибергруппировки Lazarus, на которой, предположительно, лежит ответственность за разрушительную атаку на кинокомпанию Sony Pictures Entertainment в 2014 году. Борьба с этой группировкой ведется в рамках операции Blockbuster.

Ее участниками являются многие организации и эксперты по информационной безопасности, в том числе компании AlienVault Labs и Novetta.

Для атаки на Sony Pictures Entertainment было использовано вредоносное ПО Destover. «Лаборатория Касперского» проанализировала образцы этого зловреда и обнаружила его сходство с другими семействами вредоносного ПО, которое использовалось в различных кампаниях кибершпионажа и киберсаботажа, нацеленных на финансовые организации, СМИ и производственные компании. Таким образом, этот анализ позволил установить, что группировка Lazarus начала свою деятельность задолго до нападения на Sony Pictures Entertainment. Так, самый ранний из образцов вредоносного ПО, вероятно, был создан в 2009 году, за пять лет до атаки на кинокомпанию, а с 2010 года число новых образцов стремительно увеличивалось. Это подтвердили и другие участники операции Blockbuster. 

Расследование позволило обнаружить целый ряд атак, за организацией которых стояла группировка Lazarus. Вредоносное ПО, сходное с тем, которое использовалось в атаке на Sony Pictures Entertainment, применялось также в кампании DarkSeoul, направленной на сеульские банки, радио и телевидение, и в операции Operation Troy, нацеленной на вооруженные силы Южной Кореи.

Найти связь между разными образцами зловредов и вычислить использующую их кибергруппировку удалось благодаря анализу методов, применяемых атакующими. Например, Lazarus использует один и тот же вредоносный код по нескольку раз, включая уже применявшиеся фрагменты в новые образцы.

Кроме того, эксперты обнаружили, что дропперы – специальные файлы, используемые атакующими для установки полезной нагрузки зловредов – хранили эту самую полезную нагрузку в ZIP-архиве, защищенном паролем. И пароль для архивов, замеченных в различных вредоносных кампаниях, всегда был одним и тем же. Вероятно, атакующие рассчитывали, что пароль поможет защитить данные от выгрузки и анализа, но в действительности именно это и помогло напасть на след кибергруппировки и понять, что именно она стоит за многими сходными по методам проведения атаками.

Наконец, группировку Lazarus выдали особые методы стирания следов своего присутствия в зараженных системах, а также техники, с помощью которых они избегали детектирования антивирусными программами. В итоге десятки различных целевых атак, организаторы которых до недавнего времени были неизвестны, свелись к одному источнику – Lazarus.

Группировка до сих пор активна и, как выяснили эксперты, проанализировав время создания большинства зловредов, работает в часовых поясах GMT+8 и GMT+9.

«Атаки, выводящие из строя целые IT-инфраструктуры организаций, происходят все чаще и становятся крайне эффективным кибероружием в руках злоумышленников. Возможность прекратить работу одновременно тысяч компьютеров путем нажатия всего лишь одной кнопки дает большие преимущества организаторам кибератак, чьей целью является нанесение физического вреда конкретному предприятию. А использование подобных атак в совокупности с физическим оружием и вовсе способно парализовать инфраструктуру целой страны – и подобный сценарий гораздо реалистичнее, чем нам может казаться. Именно поэтому вместе с другими представителями индустрии мы наносим удар по этой угрозе и стоящей за ней группировке, использующей столь разрушительные методы», – поясняет Хуан Герреро, антивирусный эксперт «Лаборатории Касперского». 

«Атакующие обладают необходимыми навыками и полны решимости использовать операции кибершпионажа не только для кражи данных, но и для причинения физического ущерба. Добавив к этому тактику дезинформирования жертвы, за последние годы они смогли успешно провернуть несколько таких операций, – рассказывает Джейми Бласко, главный исследователь AlienVault. – Операция Blockbuster – это пример того, как сотрудничество и обмен информацией внутри индустрии позволяют поднять планку в расследовании киберугроз и препятствуют тому, чтобы атакующие продолжали свою опасную деятельность». 

«В рамках операции Blockbuster компания Novetta, «Лаборатория Касперского» и все наши партнеры работают над тем, чтобы пресечь атаки, за которыми стоят столь опасные для всего мира группировки, а также предотвратить дальнейший ущерб от их деятельности, – отмечает Андре Людвиг, старший технический директор группы исследования и предотвращения угроз компании Novetta. – Уровень, на котором был проведен технический анализ угрозы в ходе операции Blockbuster, редко достижим, а обмен информацией между партнерами в индустрии, от которого выигрывают все стороны, еще более редкое явление».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Письма с QR-кодом от «отдела кадров» крадут корпоративные пароли

Фишеры начали рассылать сотрудникам компаний письма, замаскированные под документы от отдела кадров. Цель — выманить логины и пароли от корпоративной почты. Эксперты «Лаборатории Касперского» зафиксировали новую волну атак, в которых злоумышленники не просто имитируют деловую переписку, а персонализируют и письмо, и вложение под каждого адресата.

В письме человека приветствуют по имени, а во вложенном файле — «Руководстве для сотрудников» — обещают полезную информацию: якобы там описаны правила удалённой работы, меры безопасности и перечень льгот.

Но всё это — лишь прикрытие. Внутри — титульный лист, оглавление и раздел с QR-кодом. Сканируешь — попадаешь на поддельную страницу входа Microsoft, где просят ввести логин и пароль. Так и происходит кража данных.

Чтобы обойти почтовые фильтры, всё содержимое письма фишеры встраивают в изображение — оно выглядит как обычный текст, но фильтры его не распознают. А для убедительности рядом размещают метку «проверенный отправитель».

По словам экспертов, атака выглядит довольно продуманной и автоматизированной: скорее всего, злоумышленники используют новый инструмент, который для каждого получателя генерирует свой вариант письма и вложения. Это позволяет масштабировать атаки без потери персонализации.

Что делать? Следить за цифровой гигиеной, не доверять подозрительным письмам, даже если они кажутся «официальными», и внедрять решения, которые помогут отследить и заблокировать подобные угрозы.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru