8 (800) 707-46-28
Бесплатный звонок из регионов

Хакеры из Lazarus (КНДР) спланировали и провели атаку на российские компании

Главная / Архив новостей / Хакеры из КНДР впервые атаковали российские компании
Хакеры из КНДР впервые атаковали российские компании

Иногда упоминаемая как Hidden Cobra (Таящаяся кобра) Lazarus является сегодня одной из самых активных групп организованной киберпреступности в мире. Считается, что эта печально известная группа из Северной Кореи стоит за крупнейшими взломами за последнее десятилетие. Киберпреступления, приписываемые Lazarus, включают в себя: взлом в 2014 году Sony Pictures Entertainment, ограбление центрального банка в Бангладеш на 81 млн. долларов и множество других включая кражу миллионов долларов в криптовалютах по крайней мере на пяти различных криптовалютных биржах по всему миру.

ИБ-специалисты CheckPoint полагают, что Lazarus состоит по крайней мере из двух подразделений: первое - Andariel, которое в основном занимается нападениями на правительство и организации Южной Кореи, и второе, Bluenoroff, основное внимание которого уделяется монетизации и глобальным шпионским кампаниям. Как правило вектор атак отражал геополитическую напряженность между КНДР и такими странами как США, Япония и Южная Корея. Тем более удивительно, что обнаруженная специалистами атака была специально спланирована на российских пользователей.

Вредоносная рассылка, отправленная на адреса корпоративной почты российских компаний, была составлена на русском языке и содержала ZIP-архив с вложенными в него PDF и Word-документами. Документ Word содержал намеренно размытое изображение, чтобы спровоцировать пользователя на включение внедрённых в документ макросов. Если жертва, желая рассмотреть текст (пример социальной инженерии), разрешала работу макросов, из облачного хранилища Dropbox загружался макрос VBS, который загружал со взломанного сервера многофункциональный бэкдор KEYMARBLE в файле .CAB После успешной установки бэкдора злоумышленники получали полный доступ к файлам и папкам, сохранённым в браузере паролям, корпоративной почте жертвы и прочим конфиденциальным данным.

Согласно мнению специалистов по информационной безопасности CheckPoint теоретически возможно, что некто попытался имитировать атаку Lazarus, однако в данном случае это маловероятно, так как на фирменный почерк группировки указывает множество деталей атаки.

Чтобы не стать жертвами этой и подобных атак администраторам корпоративной почты рекомендуется производить антивирусную проверку вложений во входящих сообщениях и использовать системы IDS (Intrusion Detection Systems – системы обнаружения вторжений) в локальных сетях организаций.



При перепубликации статьи установка активной индексируемой гиперссылки на источник - сайт TENDENCE.RU обязательна!

386 просмотров