Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Lazarus атакует цепочку поставок пакетов npm

13/12/23

npm2

Китайская ИБ-компания QiAnXin обнаружила новую кампанию группировка Lazarus, в ходе которой используются npm-пакеты для атак на цепочку поставок с помощью многоуровневого метода загрузки для сокрытия следов атаки.

На основе характеристик кода образцов загрузки и других связанных образцов исследователи связали их с образцами предыдущих атак Lazarus, учитывая, что Lazarus часто использует атаки на цепочку поставок, пишет Securitylab.

Многоуровневый метод загрузки вредоносного ПО включает в себя следующие этапы:

  1. Загрузка и расшифровка встроенного файла PE, который содержит код для второго этапа загрузки. Расшифровка обычно выполняется с использованием XOR-шифрования.
  1. Загрузка и выполнение второго файла PE, который содержит код для установления связи с C2-сервером и доставки последующей полезной нагрузки.

Использование многоуровневого метода загрузки позволяет атакующим скрыть следы атаки от антивирусного программного обеспечения. Если антивирусное ПО обнаружит первый файл PE, оно может заблокировать его загрузку. Однако, если антивирусное ПО не обнаружит первый файл PE, оно не сможет обнаружить и второй файл PE, который является более опасным.

Образцы также используют методы запутывания для связи с C2-сервером для избегания обнаружения и анализа, в частности RSA-шифрование. Другим методом запутывания является использование методов сжатия с использованием алгоритма gzip. Это затрудняет анализ содержимого связи.

Последующие нагрузки образцов загрузки являются троянскими программами, которые могут похищать конфиденциальную информацию (учетные данные, финансовую и личную информацию) и выполнять удаленные команды (в т.ч. устанавливать другие вредоносные программы, отслеживать активность пользователя и захватывать контроль над компьютером жертвы).

Исходя из многоуровневого метода загрузки и характеристик связи с C2-сервером, атакующие, вероятно, пытаются скрыть следы атаки и снизить риск обнаружения последующих нагрузок. Учитывая связь с Lazarus, атакующие, вероятно, будут использовать эту возможность для проведения дальнейших атак.

Темы:ПреступленияLazarus GroupnpmQi'anxin
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...