Кибергруппировка Lazarus атакует оборонные предприятия по всему миру

04-03-2021 11:18:17   | Армения  |  Организации



В середине 2020 года эксперты «Лаборатории Касперского» обнаружили новую вредоносную кампанию группы Lazarus, которая специализируется на сложных целевых атаках. Злоумышленники расширили своё портфолио атаками на оборонную промышленность, в которых они использовали вредоносное ПО ThreatNeedle, относящееся к кластеру Manuscrypt. Среди жертв атак были предприятия из России. Также были зарегистрированы обращения к инфраструктуре злоумышленников из Европы, Северной Америки, Ближнего Востока и Азии, что может говорить о возможных жертвах и в этих регионах.
 
Когда одна из пострадавших организаций обратилась за помощью, эксперты компании обнаружили в сети бэкдор ThreatNeedle, ранее замеченный
в атаках Lazarus на криптовалютные компании. Начальное заражение происходило путём целевого фишинга: злоумышленники сделали ставку на актуальную тему — профилактику и диагностику коронавирусной инфекции. Одна из наиболее интересных деталей данной кампании связана с тем, как злоумышленники преодолели сегментацию сети. Сеть атакованного предприятия была разделена на два сегмента: корпоративный (сеть, компьютеры которой имеют доступ к интернету) и изолированный (сеть, компьютеры которой содержат конфиденциальные данные и не имеют доступа к интернету). Злоумышленникам удалось получить учётные данные от маршрутизатора, используемого администраторами для подключений к изолированной и корпоративной сетям. Изменив его настройки и установив на нём дополнительное ПО, они смогли превратить его в хостинг вредоносного ПО в сети предприятия. После этого маршрутизатор использовался для проникновения в изолированный сегмент, вывода данных из него и отправки их на командный сервер.
 
«Lazarus — не только сверхактивная группа, но и весьма продвинутая. Злоумышленники не только преодолели сегментацию сети, но и провели тщательное исследование, чтобы
создать персонализированную и эффективную фишинговую рассылку и кастомизированные инструменты для передачи украденной информации на удалённый сервер. Предприятиям необходимо принимать дополнительные меры безопасности для защиты от такого рода кампаний кибершпионажа», — поясняет Вячеслав Копейцев, старший эксперт Kaspersky ICS CERT.
 
Больше узнать об атаке с применением бэкдора ThreatNeedle можно здесь: https://ics-cert.kaspersky.ru/reports/2021/02/25/lazarus-targets-defense-industry-with-threatneedle/.
.
Представительство компании «Лаборатория Касперского» в Армении
 
 
 
  -   Организации
Новости Армении и Диаспоры - Ноян Тапан (www.nt.am)


Прочитано 48 раз
Noyan Tapan - Նոյյան տապան
Facebook Group · 3 365 անդամ
Միանալ խմբին