09/03/23
Специалистами кибербезопасности ASEC недавно было замечено, что связываемая с Северной Кореей хакерская группировка Lazarus Group использует уязвимости в программном обеспечении, используемом на финансовых предприятиях Южной Кореи, для взлома внутренних систем этих самых предприятий. За последний год это уже вторая подобная атака, согласно Securitylab.
Первая атака в мае 2022 года опиралась на уязвимости программного обеспечения для сертификации, которое широко используется в государственных учреждениях и университетах Южной Кореи. Последняя атака произошла в октябре 2022 года и использовала уязвимость нулевого дня в той же самой программе для сертификации.
ASEC намеренно не называет программное обеспечения из-за того, что «уязвимость ещё не была полностью протестирована, а исправление пока не было выпущено».
Хакеры Lazarus злоупотребили уязвимостью нулевого дня для выполнения бокового перемещения, вскоре после чего антивирусное ПО предприятия было отключено с помощью BYOVD-атаки. Атака проложила путь для нескольких бэкдоров (keys.dat и settings.vwx), предназначенных для подключения к удаленному C2-серверу для извлечения дополнительных двоичных файлов и их выполнения. В конечном итоге, полученная последняя нагрузка открывала хакерам множество путей для взаимодействия со скомпрометированными машинами.
«Lazarus Group исследует уязвимости различного программного обеспечения и постоянно меняет свои тактики и методы. Группа ищет новые способы отключения антивирусных решений и применяет методы защиты от судебной экспертизы. Таким образом Lazarus пытается затруднить обнаружение и анализ вредоносного ПО, чтобы и дальше скрытно проникать в южнокорейские учреждения и компании», — заявили специалисты ASEC.
