Новая атака Lazarus: вредонос через новостные сайты и баги в софте

Новая атака Lazarus: вредонос через новостные сайты и баги в софте

Новая атака Lazarus: вредонос через новостные сайты и баги в софте

Эксперты из команды GReAT обнаружили новую целевую атаку, которую провела группа Lazarus. В этот раз пострадали южнокорейские компании — минимум шесть организаций из разных сфер: от ИТ и финансов до производства и телекоммуникаций. Атака получила название Операция SyncHole.

Сначала злоумышленники заразили популярные новостные сайты — с помощью тактики watering hole.

Это когда вредоносный код размещают на легитимных ресурсах, которые часто посещают нужные хакерам пользователи. Потом фильтровали трафик: не всех, а только «интересных» посетителей перенаправляли на свои серверы, где уже запускалась цепочка заражения.

Один из ключевых элементов атаки — использование уязвимости в Innorix Agent. Это местное ПО, которое применяется для передачи файлов и требуется для работы на многих южнокорейских веб-сайтах, особенно в финансовой и госструктуре. Уязвимость позволяла злоумышленникам попасть во внутреннюю сеть и устанавливать туда свои инструменты — например, бэкдор ThreatNeedle и загрузчик LPEClient.

При анализе атаки специалисты обнаружили в Innorix Agent ещё одну, ранее неизвестную уязвимость. Её не успели использовать, но она могла дать возможность загружать произвольные файлы. Об этом оперативно сообщили местному киберрегулятору и производителю ПО. После чего вышло обновление, а уязвимости присвоили идентификатор KVE-2025-0014.

Интересно, что первый тревожный сигнал пришёл ещё до этого: вредоносные программы ThreatNeedle и SIGNBT заметили в корпоративной сети одной из компаний. Они запускались в памяти обычных процессов, например, SyncHost.exe, и маскировались под вспомогательные компоненты браузеров.

Похоже, что во многих случаях начальная точка заражения была связана с программой Cross EX — она используется для работы защитных решений в браузерах. Её уязвимость также была подтверждена и устранена после публикации соответствующего уведомления южнокорейским агентством по кибербезопасности.

Этот случай снова показывает, насколько опасными могут быть сторонние плагины и вспомогательный софт, особенно если оно с региональной спецификой, устаревшее или имеет повышенные права. Такие компоненты часто менее защищены, но при этом глубоко интегрированы в систему, что делает их удобной мишенью.

Проактивный подход к анализу атак, как в этом случае, помогает выявлять уязвимости до того, как они станут активно использоваться.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Почти 40% россиян считают свои данные скомпрометированными

Согласно результатам нового исследования, 39% опрошенных считают, что их персональные данные уже были скомпрометированы. Более половины респондентов (51%) слышали об утечках в компаниях, услугами которых они пользуются.

Вопрос защиты персональных данных вызывает обеспокоенность у 92% участников опроса.

Как отметили в BI.ZONE и «СберМаркетинге», в целом респонденты правильно понимают, что такое персональные данные: 65% согласились с определением, согласно которому это информация, позволяющая установить личность человека.

При этом 81% опрошенных готовы делиться своими данными ради участия в программах лояльности или получения иных выгод. Однако только 18% готовы делать это в любом случае, тогда как 63% зависят в своём решении от уровня доверия к конкретной организации.

Готовность делиться информацией также различается в зависимости от её типа. Охотно сообщают:

  • адрес электронной почты — 81%,
  • номер телефона — 72%,
  • дату рождения — 70%.

Гораздо реже пользователи готовы раскрыть:

  • никнейм или ссылку на профиль в соцсетях — 28%,
  • место жительства и должность — по 27%,
  • место работы — 25%,
  • паспортные данные — только 7% (среди женщин — 12%, среди мужчин — 3%).

По мнению авторов исследования, такая осторожность связана с риском использования паспортных данных в мошеннических целях. В то же время остальная информация часто уже доступна в открытых источниках, например, в социальных сетях.

70% респондентов сообщили, что получают рекламные сообщения от компаний, которым, по их мнению, они не давали согласие на обработку персональных данных, как того требует российское законодательство. Эксперты предполагают, что многие компании оформляют согласие в неявной или скрытой форме, из-за чего потребители не осознают, что дали на это разрешение.

Муслим Меджлумов, директор по продуктам и технологиям BI.ZONE, подчеркнул: «Три четверти россиян готовы отказаться от услуг организаций, допустивших утечку личной информации. Это создаёт серьёзные финансовые риски для бизнеса, и мы рекомендуем компаниям занимать проактивную позицию в вопросах защиты данных и уделять повышенное внимание мерам кибербезопасности».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru