Лаборатория Касперского выпустила интересный отчет в отношении | SecAtor

Лаборатория Касперского выпустила интересный отчет в отношении активности северокорейской APT Lazarus в 2020 году.

Как говорят исследователи, в середине прошлого года они наблюдали сразу несколько компаний со стороны Lazarus, направленных на предприятия оборонного сектора, в том числе, как можно понять из подробностей расследования, российские. При этом хакеры из КНДР использовали семейство вредоносов ThreatNeedle - дальнейшее развитие их авторского инструментария Manuscrypt.

Ранее об использовании северокорейцами ThreatNeedle в ходе кампании по компрометации инфосек экспертов сообщали Google TAG и S2W LAB.

Одной из целей Lazarus была некая российская компания, которую хакеры атаковали с помощью целевого фишинга, на ходу модифицируя приманки и устраняя ошибки в русскоязычных текстах ("Мы стараемся любезно служить всем, но иногда эти проблемы возникают"). Приманками служили письма о COVID-19, направленные, якобы, от лица одного из реальных руководителей медицинского центра, работающего с организацией-целью.

В конце концов один из сотрудников попался на фишинг и это послужило отправной точкой компрометации сети компании.

Из интересного также можно отметить, что Lazarus сумели проникнуть глубоко в сеть одной из жертв и, воспользовавшись недостатками в ее конфигурации, обойти сегментирование на офисную и изолированную (не имевшую прямого доступа в Интернет) части. С этой целью хакеры взломали один из маршрутизаторов, который подключался к обоим сегментам сети, и использовали его в качестве прокси для дальнейшей эксфильтрации данных из закрытого сегмента.

Вспоминая, что еще весной северокорейская же APT Kimsuky атаковала одно из предприятий Ростеха (тоже оборонное?), то можно смело говорить о ярко выраженном интересе хакеров из КНДР к российскому производственному сектору.