Hakeri iz Severne Koreje napadaju ciljeve u Rusiji

Vesti, 22.02.2019, 00:00 AM

Grupa Bluenoroff, koja je deo severnokorejske APT grupe Lazarus, nedavno je započela kampanju u kojoj koristi maliciozne Office dokumente posebno izrađene za napade na ciljeve u Rusiji. To je neobično s obzirom da je grupa Lazarus (poznata i pod imenima HIDDEN KOBRA, Guardians of Peace, ZINK i NIKEL ACADEMY) koja je aktivna od 2009. godine, tradicionalno napadala samo ciljeve iz zemalja koje se protive severnokorejskom režimu.

Neki od najuspešnijih napada ove grupe su napad na američku kompaniju Sony Pictures Entertainment Inc i napadi na veliki broj banaka širom sveta, koji su grupi doneli na desetine miliona američkih dolara. Posle napada na Banku Bangladeša i Far East International Bank of Taiwan grupa je bila bogatija za najmanje 140 miliona dolara.

Stručnjaci ruske firme Group-IB su grupi Lazarus pripisali brojne napade na menjačnice kriptovaluta koji su se dogodili 2017. i 2018. godine, a u kojima je grupa “zaradila” više od 550 miliona dolara.

U ovoj novoj operaciji u kojoj su ciljevi ruske organizacije grupa koristi Office dokumente u početnoj fazi infekcije a u poslednjoj fazi infekcije ciljevi se inficiraju backdoor trojancem KEYMARBLE.

Prema analizi US-CERT-a, grupa koristi ovog trojanca za “pristup konfiguracionim podacima uređaja, preuzimanje dodatnih fajlova, izvršavanje komandi, menjanje registra, snimanje ekrana i izvlačenje podataka".

Lanac infekcije koji je analizirao istraživački tim Check Pointa sastoji se od tri koraka, ali u nekom trenutku, grupa je odlučila da preskoči drugi korak:

1. ZIP fajl koji sadrži dva dokumenta: benigni PDF dokument koji služi kao mamac i zlonamerni Word dokument sa makroima;

2. Zlonamerni makro preuzima VBS skriptu sa Dropbox URL-a, nakon čega sledi izvršenje VBS skripte;

3. VBS skripta preuzima CAB fajl sa severa, izvlači ugrađeni EXE fajl (backdoor) koristeći Windows “expand.exe” program, i konačno ga pokreće.

Nakon što su odlučili da preskoče drugi korak, napadači su modifikovali maliciozne makroe u Word dokumentu da bi mogli da direktno isporučuju i pokreću KEYMARBLE.

Maliciozni Office dokumenti se isporučuju kao ZIP fajlovi, sa mamcem - PDF dokumentom NDA_USA.pdf koji sadrži ugovor StarForce Technologies NDA, koji je ruska softverska kompanija koja razvija softver za zaštitu od kopiranja.

Na ovaj način, početni maliciozni sadržaj izgleda legitimnije. Tako se potencijalne ruske žrtve mogu prevariti da otvore Word dokument sa malicioznim makroima koji omogućavaju pokretanje procesa infekcije.

Da bi isporučio KEYMARBLE na ciljane računare, Lazarus koristiti kompromitovane servere koji će ga čuvati u obliku CAB arhiva maskiranih u JPEG slike. Ovo takođe dovodi do sekundarne "koristi" - smanjenja stope detekcije, jer “od pet proizvođača na VirusTotalu samo su dva detektovala ovaj fajl kao zlonameran” za dati uzorak.

KEYMARBLE backdoor je samo jedan od mnogih malvera koje Lazarus ima u svom arsenalu, a US-CERT je od 12. maja 2017. do 2. oktobra 2018. godine identifikovao 15 različitih vrsta malvera.

Iako je do sada Lazarus bio prepoznatljiv po uništavanju svojih tragova zajedno sa svim drugim podacima na sistemima i mrežama koje je uspešno kompromitovao, izgleda da je aktuelna kampanja fokusirana samo na prikupljanje informacija uz pomoć malvera KEYMARBLE.