Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Кибергруппировка Lazarus вооружилась новым вредоносом

24/09/19

hack LazarusСпециалисты из «Лаборатории Касперского» обнаружили новое вредоносное ПО DTrack, которое использовалось для атак на индийские финансовые организации и исследовательские центры. Вредоносную кампанию организовала киберпреступная группировка Laarus (она же Hidden Cobra), известная своими атаками на банки, финансовые организации и криптовалютные биржи по всему миру.

В августе 2018 года специалисты обнаружили вредонос ATMDtrack, нацеленный на индийские финансовые учреждения. Согласно результатам анализа, вредоносное ПО внедряли в банкоматы для считывания данных вставляемых карт и сохранения их на ресурсах злоумышленников. Используя поисковый инструмент YARA и автоматизированную систему атрибуции «Лаборатории Касперского» (Kaspersky Attribution Engine) для анализа недавней кампании, исследователи обнаружили более 180 схожих с ATMDtrack образцов шпионских инструментов, позднее названых Dtrack.

Образцы Dtrack оказались расшифрованными дампами памяти, хотя изначально они доставляются разными дропперами только в шифрованном виде. Специалисты нашли их по общим характерным последовательностям байтов в дампах памяти ATMDtrack и Dtrack. Расшифровав итоговую полезную нагрузку дроппера Dtrack и повторно применив Kaspersky Attribution Engine, исследователи нашли совпадения с кампанией DarkSeoul 2013 года, которую приписывают группировке Lazarus. Предположительно, злоумышленники использовали часть старого кода для атак на финансовую отрасль и исследовательские центры Индии.

Однако новые вредоносные образцы не были нацелены на банкоматы, а использовались в качестве шпионского ПО. Возможности обнаруженных исполняемых файлов полезной нагрузки Dtrack включают клавиатурный шпион, получение истории браузера, сбор IP-адресов хостов, информации о доступных сетях и активных соединениях, список всех запущенных процессов и список всех файлов на всех доступных дисках.

Дропперы также содержали средства удаленного администрирования ПК (Remote Administration Tool, RAT), позволяющие злоумышленникам выполнять различные операции на хосте, включая загрузку, скачивание, запуск файлов и пр.

Темы:ПреступленияЛКLazarus GroupКНДР
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...