Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Группировка Lazarus обзавелась собственным бесфайловым вредоносом

05/12/19

Korean ITATP-группа Lazarus, часто связываемая экспертами с правительством КНДР, вооружилась новой техникой взлома компьютеров под управлением macOS.

Аналитик ИБ-компании K7 Computing Динеш Девадосс (Dinesh Devadoss) обнаружил первое в арсенале Lazarus вредоносное ПО, выполняющееся в памяти Mac. Подобные бесфайловые программы работают исключительно в оперативной памяти компьютера, что позволяет им успешно обходить антивирусные решения, ищущие вредоносные файлы на жестких дисках.

Обнаруженный Девадоссом образец вредоносного ПО на этой неделе был изучен «гуру» безопасности Патриком Уордлом (Patrick Wardle). По его словам, вредонос является новым витком в развитии тактик, используемых Lazarus для незаметного заражения компьютеров.

Как и в других вредоносных операциях Lazarus (в частности, в операции AppleJeus ), новая атака начинается с установки жертвой вредоносного ПО, замаскированного под легитимное приложение для трейдинга криптовалют. Однако после запуска троян демонстрирует новый трюк: вторичная полезная нагрузка (именно ее функционал является вредоносным) выполняется непосредственно в памяти без установки каких-либо файлов на жесткий диск.

Как пояснил Уордл, для этого вредонос сначала загружает и расшифровывает полезную нагрузку, а затем с помощью вызовов API в macOS создает так называемый образ файлового объекта. Это позволяет вредоносу запускаться в памяти, как если бы он был установлен локально.

С какой целью Lazarus обзавелась новым инстументом, пока неясно. По словам Уордла, в настоящее время удаленный C&C-сервер остается online и отправляет в ответ '0', что свидетельствует об отсутствии какой-либо полезной нагрузки.

Темы:УгрозыLazarus GroupКНДРпоследние разработки
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...