8 (800) 707-46-28
Бесплатный звонок из регионов

Хакеры из Lazarus (КНДР) спланировали и провели атаку на российские компании

Главная / Архив новостей / Хакеры из КНДР впервые атаковали российские компании - группа Lazarus разослала вредоносный спам на адреса корпоративной почты
Хакеры из КНДР впервые атаковали российские компании - группа Lazarus разослала вредоносный спам на адреса корпоративной почты

Иногда упоминаемая как Hidden Cobra (Таящаяся кобра) Lazarus является сегодня одной из самых активных групп организованной киберпреступности в мире. Считается, что эта печально известная группа из Северной Кореи стоит за крупнейшими взломами за последнее десятилетие. Киберпреступления, приписываемые Lazarus, включают в себя: взлом в 2014 году Sony Pictures Entertainment, ограбление центрального банка в Бангладеш на 81 млн. долларов и множество других включая кражу миллионов долларов в криптовалютах по крайней мере на пяти различных криптовалютных биржах по всему миру.

ИБ-специалисты CheckPoint полагают, что Lazarus состоит по крайней мере из двух подразделений: первое - Andariel, которое в основном занимается нападениями на правительство и организации Южной Кореи, и второе, Bluenoroff, основное внимание которого уделяется монетизации и глобальным шпионским кампаниям. Как правило вектор атак отражал геополитическую напряженность между КНДР и такими странами как США, Япония и Южная Корея. Тем более удивительно, что обнаруженная специалистами атака была специально спланирована на российских пользователей.

Вредоносная рассылка, отправленная на адреса корпоративной почты российских компаний, была составлена на русском языке и содержала ZIP-архив с вложенными в него PDF и Word-документами. Документ Word содержал намеренно размытое изображение, чтобы спровоцировать пользователя на включение внедрённых в документ макросов. Если жертва, желая рассмотреть текст (пример социальной инженерии), разрешала работу макросов, из облачного хранилища Dropbox загружался макрос VBS, который загружал со взломанного сервера многофункциональный бэкдор KEYMARBLE в файле .CAB После успешной установки бэкдора злоумышленники получали полный доступ к файлам и папкам, сохранённым в браузере паролям, корпоративной почте жертвы и прочим конфиденциальным данным.

Согласно мнению специалистов по информационной безопасности CheckPoint теоретически возможно, что некто попытался имитировать атаку Lazarus, однако в данном случае это маловероятно, так как на фирменный почерк группировки указывает множество деталей атаки.

Чтобы не стать жертвами этой и подобных атак администраторам корпоративной почты рекомендуется производить антивирусную проверку вложений во входящих сообщениях и использовать системы IDS (Intrusion Detection Systems – системы обнаружения вторжений) в локальных сетях организаций.



При перепубликации статьи обязательна установка активной индексируемой гиперссылки на источник - сайт TENDENCE.RU

666 просмотров