Поделиться
Киберармия Северной Кореи нашла уязвимость нулевого дня в южнокорейском ПО и уже используют его в кибератаках
Программный комплекс MagicLine4NX для аутентификации в корпоративных средах стал очередной добычей печально известной группировки Lazarus.
День номер ноль
Северокорейские хакеры из группировки Lazarus отыскали уязвимость нулевого дня в программном обеспечении (ПО) MagicLine4NX и с его помощью осуществляют атаки через «цепочки поставок». MagicLine4NX - это программный комплекс для аутентификации, разработанный южнокорейской компанией Dream Security для применения в корпоративном секторе.
Как указывается в бюллетене, выпущенном совместно Национальным центром кибербезопасности Великобритании и Национальной разведывательной службой Южной Кореи, хакеры, пользующиеся поддержкой спецслужб КНДР активно атакуют преимущественно южнокорейские учреждения. Благодаря уязвимости в MagicLine4NX они пролезают во внутренние сети организаций. Однако цепочка заражений довольно сложна.
В самом начале хакеры взломали вебсайт неназванного средства и внедрили вредоносные скрипты в популярную статью. Когда представители интересующих их компаний с определённых IP-адресов посещали статью на скомпрометированном сайте, скрипты выполняли вредоносный код, эксплуатировавший уязвимость. В результате злоумышленники вначале получали доступ к данным на компьютере, доступном из интернета, и устанавливали соединение между ним и командным сервером под своим контролем.
Используя функцию синхронизации MagicLine4NX, хакеры внедряли уже на легитимный сервер на стороне жертвы внедряли вредонос, который позволял красть данные, а также производить дальнейшую разведку интранета жертвы, загружать на сервер и исполнять дополнительные вредоносные модули и осуществлять скрытное передвижение по сетям.
Типичный модус
Издание Bleeping Computer указывает, что для Lazarus атаки на цепочки поставок и эксплуатация уязвимостей нулевого дня - совершенно типичное поведение.
В марте 2023 года подразделение Lazarus, известное как Labyrinth Chollima, произвела атаку на разработчика инструментов VoIP 3CX для осуществления атак на ряд крупных компаний по всему миру.
На прошлой неделе Microsoft обнародовала информацию об атаке через цепочку поставок на CyberLink: Lazarus распространила троянизированные инсталляционые файлы CyberLink (причём снабжённые действующей цифровой подписью) и таким образом заразила как минимум сотню компьютеров с помощью вредоноса LambLoad.
Как правило, Lazarus и его подразделения либо осуществляют шпионскую деятельность, либо финансовые мошенничества, либо кражу криптовалют.
«Lazarus - не столько хакерская группировка, сколько часть обширной киберармии страны, ведущей скрытую войну со всем миром, включая своих условных союзников», - говорит директор по информационной безопасности компании SEQ Анастасия Мельникова. По ее словам, это не наемники или мелкие воришки, а полноценные кибердиверсанты и шпионы, но сама возможность их существования связана с тем же явлением, которое обусловило появление любых других проблем с кибербезопасностью, - уязвимости в программном обеспечении. «Хотя это может прозвучать двусмысленно, но таких профессионалов как члены Lazarus любая компания, занимающаяся кибербезопасностью, наняла бы за очень крупное вознаграждение, да и в любой другой киберармии они бы молниеносно сделали бы прекрасную карьеру», - заключила Анастасия Мельникова.
На данный момент, впрочем, Lazarus - это проблема уже мирового масштаба.
Короткая ссылка
