Поделиться
«Лаборатория Касперского» выявила новую кампанию Lazarus с использованием легитимного ПО
Эксперты «Лаборатории Касперского» обнаружили новую кампанию группы Lazarus, направленную на организации по всему миру. Для заражения использовалось легитимное ПО, предназначенное для шифрования веб-коммуникаций с помощью цифровых сертификатов. Результаты исследования были представлены на Security Analyst Summit в Таиланде.
Ранее эксперты уже предупреждали о уязвимостях, которые позволяли группе Lazarus совершать атаки. Однако многие организации продолжали пользоваться старой версией ПО, в которой они не были исправлены.
Для атаки злоумышленники применяли сложные методы, в частности продвинутые техники обхода защитных средств. Для контроля устройств жертв они использовали вредоносное ПО SIGNBT. Также атакующие эксплуатировали уже известный инструмент LPEClient — ранее он был задействован в целевых атаках на подрядчиков оборонных предприятий, ядерных инженеров и криптовалютный сектор. LPEClient — первая ступень в процессе заражения. Она играет ключевую роль в определении профиля жертвы и внедрения в систему других зловредов. То, как использовался инструмент LPEClient в этой и других атаках, указывает на методы группы Lazarus, полагают эксперты «Лаборатории Касперского». Таким же образом злоумышленники действовали во время атаки на цепочку поставок на компанию ЗСХ.
Как показал дальнейший анализ, вредоносное ПО Lazarus уже несколько раз использовалось для атаки на первоначальную жертву — поставщика программного обеспечения. Такие повторяющиеся атаки указывают на то, что у злоумышленников есть чёткая цель — вероятно, получить критически важный исходный код или нарушить цепочку поставок ПО. Атакующие постоянно эксплуатировали уязвимости в программном обеспечении компаний и расширяли спектр мишеней, нацеливаясь на организации, использующие неисправленную версию ПО. Решение Kaspersky Security для бизнеса проактивно распознало угрозу и предотвратило атаки на другие организации.
«Продолжающиеся атаки Lazarus — свидетельство того, что злоумышленники обладают серьёзными техническими возможностями и сильной мотивацией. Они действуют по всему миру, целясь в разные организации из промышленного сектора, и используют для этого разнообразные методы. Угроза сохраняется и постоянно эволюционирует, что требует особой бдительности», — сказал Сонгсу Парк (Seongsu Park), эксперт по кибербезопасности «Лаборатории Касперского».
Чтобы защититься от целевых атак, эксперты «Лаборатории Касперского» рекомендуют компаниям: регулярно обновлять операционную систему, приложения и защитное ПО, чтобы своевременно устранять уязвимости; обучать сотрудников с осторожностью относиться к электронным письмам, сообщениям или звонкам, в которых просят сообщить конфиденциальную информацию; проверять личность отправителей перед тем, как передавать им свои данные или переходить по подозрительным ссылкам; использовать решение для защиты рабочих мест, такое как Kaspersky Security для бизнеса; обеспечить доступ к базе данных об угрозах (TI) специалистам центра мониторинга безопасности (SOC). Например, Kaspersky Threat Intelligence предоставляет данные об атаках, собранные компанией более чем за 20 лет; повышать уровень знаний команды в области кибербезопасности, в частности о новейших целевых угрозах. В этом помогут онлайн-тренинги, разработанные экспертами «Лаборатории Касперского»; использовать EDR-решения для обнаружения угроз на конечных устройствах, расследования и своевременного восстановления после инцидентов, такие как Kaspersky Endpoint Detection and Response.
Короткая ссылка
