Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Северокорейские хакеры Lazarus заподозрены в шпионаже за химическими компаниями

20/04/22

korean hackers3-Apr-20-2022-10-05-16-39-AMСпециалисты в области кибербезопасности из компании Symantec сообщили , что северокорейская киберпреступная группировка Lazarus взламывает сети компаний химического сектора в целях шпионажа.

Шпионская операция, вероятно, является продолжением кампании Dream Job, которая началась еще в августе 2020 года. Преступная схема включала использование фальшивых предложений о работе с целью заставить соискателей переходить по ссылкам или открывать вредоносные вложения, которые затем позволяли преступникам установить шпионское ПО на компьютеры жертв. В ходе кампании Dream Job были атакованы оборонные, правительственные и инженерные организации в 2020 и 2021 годах.

Lazarus обратила свое внимание на химические компании в январе нынешнего года. ИБ-специалисты обнаружили сетевую активность хакеров в «ряде организаций, базирующихся в Южной Корее». Атаки обычно начинаются с отправки вредоносного HTML-файла, который копируется в DLL-файл с именем scskapplink.dll для компрометации приложения в системе.

«Файл DLL внедряется в INISAFE Web EX Client, который является легитимным программным обеспечением для управления системой. Файл scskapplink.dll обычно представляет собой подписанный троянский инструмент с добавленным вредоносным экспортом», — отметили эксперты.

Внедренный вредоносный код загружает и выполняет полезную нагрузку бэкдора с командного сервера, который использует ключ/значение параметра URL «prd_fld=racket». В этот момент вредоносное ПО повторно подключается к командному серверу, выполняет shell-код и загружает дополнительное вредоносное ПО.

Кроме того, преступники используют Windows Management Instrumentation (WMI) для перемещения по сети и внедрения DreamSecurity в приложение MagicLine на других компьютерах.

В одном случае злоумышленники украли учетные данные из разделов реестра SAM и SYSTEM, а затем провели несколько часов, запуская неизвестный shell-код с помощью загрузчика final.cpl. В других случаях хакеры установили BAT-файл для обеспечения персистентности в сети, а также установили инструменты посткомпрометации, в том числе SiteShoter, позволяющий делать скриншоты.

Темы:ПреступленияLazarus GroupSymantecЮжная Корея
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...