Северокорейская хакерская группа Lazarus (она же HIDDEN COBRA, Guardians of Peace, ZINC, NICKEL ACADEMY и APT38) начала атаковать российские компании.

Об этом сообщили аналитики компании Check Point.

Исследователи отмечают, что это первый зафиксированный случай атак на цели в РФ, поскольку чаще всего Lazarus атакуют цели в Южной Корее и Японии.

За обнаруженными атаками на российские компании стоит подразделение Lazarus, известное как Bluenoroff. Оно занимается преимущественно финансовыми операциями. Какие именно компании и организациями стали целями хакеров, не уточняется. Аналитики опираются на вредоносные образцы, загруженные на VirusTotal с российских IP-адресов (VirusTotal — бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок на предмет выявления вирусов и всевозможных вредоносных программ).

Чаще всего атаки начинаются с таргетированных писем, содержащих вредоносные архивы ZIP. Внутри их находятся файлы Office и PDF, созданные специально для русскоязычной аудитории и содержащие вредоносные макросы.

Срабатывание макросов приводит к загрузке и исполнению скрипта VBS (зачастую скачивание происходит с Dropbox). Скрипт VBS, в свою очередь, загружает файл CAB с сервера злоумышленников, извлекает из него файл EXE и выполняет его.

Отмечается, что злоумышленники иногда пропускают второй этап данной схемы и не задействуют Dropbox. Они сразу переходят к загрузке вредоносных программ на гаджет жертвы.

атака1

Фото: Check Point

Связать атаки с группировкой Lazarus помог финальный пейлоад (payload – часть червя, которая производит деструктивные действия с данными, копирование информации с зараженного компьютера и т. д.). Это обновленная версия известного инструмента северокорейских хакеров KEYMARBLE. Вредоносная программа проникает в компьютер под видом файла JPEG и при это часто не обнаруживается защитными решениями.

По данным исследователей, KEYMARBLE применяется злоумышленниками для получения информации о зараженной системе, для загрузки дополнительных файлов, исполнения различных команд, внесения изменений в реестр, захвата снимков экрана и извлечения данных.

атака2

атака3

атака4

атака5

Фото: Check Point

СПРАВКА. Хакерская группировка Lazarus получила широкую известность после кибератаки на Sony Pictures Entertainment в 2014 году. В 2016 году хакеры успешно похитили 81 млн долларов у Центробанка Бангладеш. Кроме того, группировку связывают с атаками Wannacry, атаками на банки в Польше и Мексике, фишинговыми атаками на подрядчиков Министерства обороны США, кампаниями против онлайн-казино в странах Латинской Америки. Также в прошлом году Lazarus атаковала криптовалютную биржу Bithumb.

В сентябре прошлого года Министерство юстиции США предъявило обвинения 34-летнему гражданину Северной Кореи (КНДР) Пак Чин Хёку в причастности к массовым кибератакам вируса-вымогателя WannaCry в 2017 году, атаке на Центробанк Бангладеш в 2016 году, взломе компании Sony Pictures в 2014 году и других преступлениях.
В декабре прошлого года сообщалось, что хакеры из КНДР могут быть причастны к атакам на криптовалютные биржи.
16 октября издание The New York Times заявило, что в распоряжении КНДР имеется “армия” из более чем 6 тысяч хакеров, которые действуют эффективно и постоянно улучшают свои навыки.