Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Группировка Lazarus обзавелась собственным бесфайловым вредоносом

05/12/19

Korean ITATP-группа Lazarus, часто связываемая экспертами с правительством КНДР, вооружилась новой техникой взлома компьютеров под управлением macOS.

Аналитик ИБ-компании K7 Computing Динеш Девадосс (Dinesh Devadoss) обнаружил первое в арсенале Lazarus вредоносное ПО, выполняющееся в памяти Mac. Подобные бесфайловые программы работают исключительно в оперативной памяти компьютера, что позволяет им успешно обходить антивирусные решения, ищущие вредоносные файлы на жестких дисках.

Обнаруженный Девадоссом образец вредоносного ПО на этой неделе был изучен «гуру» безопасности Патриком Уордлом (Patrick Wardle). По его словам, вредонос является новым витком в развитии тактик, используемых Lazarus для незаметного заражения компьютеров.

Как и в других вредоносных операциях Lazarus (в частности, в операции AppleJeus ), новая атака начинается с установки жертвой вредоносного ПО, замаскированного под легитимное приложение для трейдинга криптовалют. Однако после запуска троян демонстрирует новый трюк: вторичная полезная нагрузка (именно ее функционал является вредоносным) выполняется непосредственно в памяти без установки каких-либо файлов на жесткий диск.

Как пояснил Уордл, для этого вредонос сначала загружает и расшифровывает полезную нагрузку, а затем с помощью вызовов API в macOS создает так называемый образ файлового объекта. Это позволяет вредоносу запускаться в памяти, как если бы он был установлен локально.

С какой целью Lazarus обзавелась новым инстументом, пока неясно. По словам Уордла, в настоящее время удаленный C&C-сервер остается online и отправляет в ответ '0', что свидетельствует об отсутствии какой-либо полезной нагрузки.

Темы:УгрозыLazarus GroupКНДРпоследние разработки
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...