Hakeri iz Severne Koreje napadaju ciljeve u Rusiji

Vesti, 22.02.2019, 00:00 AM

Hakeri iz Severne Koreje napadaju ciljeve u Rusiji

Grupa Bluenoroff, koja je deo severnokorejske APT grupe Lazarus, nedavno je započela kampanju u kojoj koristi maliciozne Office dokumente posebno izrađene za napade na ciljeve u Rusiji. To je neobično s obzirom da je grupa Lazarus (poznata i pod imenima HIDDEN KOBRA, Guardians of Peace, ZINK i NIKEL ACADEMY) koja je aktivna od 2009. godine, tradicionalno napadala samo ciljeve iz zemalja koje se protive severnokorejskom režimu.

Neki od najuspešnijih napada ove grupe su napad na američku kompaniju Sony Pictures Entertainment Inc i napadi na veliki broj banaka širom sveta, koji su grupi doneli na desetine miliona američkih dolara. Posle napada na Banku Bangladeša i Far East International Bank of Taiwan grupa je bila bogatija za najmanje 140 miliona dolara.

Stručnjaci ruske firme Group-IB su grupi Lazarus pripisali brojne napade na menjačnice kriptovaluta koji su se dogodili 2017. i 2018. godine, a u kojima je grupa “zaradila” više od 550 miliona dolara.

U ovoj novoj operaciji u kojoj su ciljevi ruske organizacije grupa koristi Office dokumente u početnoj fazi infekcije a u poslednjoj fazi infekcije ciljevi se inficiraju backdoor trojancem KEYMARBLE.

Prema analizi US-CERT-a, grupa koristi ovog trojanca za “pristup konfiguracionim podacima uređaja, preuzimanje dodatnih fajlova, izvršavanje komandi, menjanje registra, snimanje ekrana i izvlačenje podataka".

Lanac infekcije koji je analizirao istraživački tim Check Pointa sastoji se od tri koraka, ali u nekom trenutku, grupa je odlučila da preskoči drugi korak:

1. ZIP fajl koji sadrži dva dokumenta: benigni PDF dokument koji služi kao mamac i zlonamerni Word dokument sa makroima;

2. Zlonamerni makro preuzima VBS skriptu sa Dropbox URL-a, nakon čega sledi izvršenje VBS skripte;

3. VBS skripta preuzima CAB fajl sa severa, izvlači ugrađeni EXE fajl (backdoor) koristeći Windows “expand.exe” program, i konačno ga pokreće.

Nakon što su odlučili da preskoče drugi korak, napadači su modifikovali maliciozne makroe u Word dokumentu da bi mogli da direktno isporučuju i pokreću KEYMARBLE.

Maliciozni Office dokumenti se isporučuju kao ZIP fajlovi, sa mamcem - PDF dokumentom NDA_USA.pdf koji sadrži ugovor StarForce Technologies NDA, koji je ruska softverska kompanija koja razvija softver za zaštitu od kopiranja.

Na ovaj način, početni maliciozni sadržaj izgleda legitimnije. Tako se potencijalne ruske žrtve mogu prevariti da otvore Word dokument sa malicioznim makroima koji omogućavaju pokretanje procesa infekcije.

Da bi isporučio KEYMARBLE na ciljane računare, Lazarus koristiti kompromitovane servere koji će ga čuvati u obliku CAB arhiva maskiranih u JPEG slike. Ovo takođe dovodi do sekundarne "koristi" - smanjenja stope detekcije, jer “od pet proizvođača na VirusTotalu samo su dva detektovala ovaj fajl kao zlonameran” za dati uzorak.

KEYMARBLE backdoor je samo jedan od mnogih malvera koje Lazarus ima u svom arsenalu, a US-CERT je od 12. maja 2017. do 2. oktobra 2018. godine identifikovao 15 različitih vrsta malvera.

Iako je do sada Lazarus bio prepoznatljiv po uništavanju svojih tragova zajedno sa svim drugim podacima na sistemima i mrežama koje je uspešno kompromitovao, izgleda da je aktuelna kampanja fokusirana samo na prikupljanje informacija uz pomoć malvera KEYMARBLE.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Zašto se zakrpljena ranjivost u WinRaru i dalje iskorišćava za napade

Zašto se zakrpljena ranjivost u WinRaru i dalje iskorišćava za napade

Različite kriminalne grupe i hakeri još uvek iskorišćavaju nedavno zakrpljenu kritičnu ranjivost u WinRAR-u, popularnoj aplikaciji za kompresiju ... Dalje

Huawei spreman da odustane od Androida i Windowsa ako bude zabranjen u SAD

Huawei spreman da odustane od Androida i Windowsa ako bude zabranjen u SAD

Huawei se suočava sa sve većim pritiskom Sjedinjenih Država i njihovih saveznika koje optužuju kompaniju da špijunira za kinesku vladu. Iako do ... Dalje

Dok su trajali problemi sa WhatsAppom i Messengerom, Telegram dobio 3 miliona novih korisnika

Dok su trajali problemi sa WhatsAppom i Messengerom, Telegram dobio 3 miliona novih korisnika

Korisnici iz celog sveta žalili su se ove nedelje na probleme sa slanjem poruka preko WhatsAppa i Messengera, objavama na Facebooku i pristupanjem dr... Dalje

Facebook: Tehnički problemi krivi za prekid u radu WhatsAppa, Messengera i Instagrama

Facebook: Tehnički problemi krivi za prekid u radu WhatsAppa, Messengera i Instagrama

Facebook je rekao da je "promena konfiguracije servera" kriva za najgori prekid u radu u njegovoj istoriji. Kompanija je objasnila da je to "pokrenulo... Dalje

Google uveo DuckDuckGo kao opciju za pretraživanje u Chromeu za više od 60 tržišta

Google uveo DuckDuckGo kao opciju za pretraživanje u Chromeu za više od 60 tržišta

U ažuriranju Chromium endžina, koji podupire Googleov popularni pregledač Chrome, Google je tiho ažurirao liste podrazumevanih pretraživača koje... Dalje