Hackerii au luat la țintă industria apărării
Reading Time: 2 minuteCercetătorii Kaspersky au identificat o nouă campanie, necunoscută anterior, de la Lazarus, un grup de amenințări avansate extrem de prolific, activ cel puțin din anul 2009, care a fost legat de o serie de campanii complexe. De la începutul anului 2020, a vizat industria de apărare cu un atac de tip backdoor personalizat, numit ThreatNeedle. Backdoor-ul se deplasează lateral prin rețelele infectate colectând informații importante.
Până în prezent, organizații din peste 12 țări au fost afectate.
Mod de acțiune
Infecția inițială avea loc prin spear phishing; țintele primeau e-mailuri care conțineau fie un atașament Word rău intenționat, fie un link ce face legătura cu serverele companiei. De multe ori, e-mailurile susțineau că sunt necesare actualizări urgente legate de pandemia globală și pretindeau că provin de la un centru medical respectat. Odată ce documentul rău intenționat era deschis, malware-ul era accesat și trecea la următoarea etapă a procesului de implementare.
Programul malware ThreatNeedle utilizat în această campanie aparține unei familii de malware cunoscută sub numele de Manuscrypt, care aparține grupului Lazarus și a fost descoperită anterior atacând afacerile cu criptomonede. Odată instalat, ThreatNeedle este capabil să obțină controlul complet al dispozitivului victimei, ceea ce înseamnă că poate face orice, de la manipularea fișierelor până la executarea comenzilor primite.
Maleficul Lazarus
Una dintre cele mai interesante tehnici din această campanie a fost capacitatea grupului de a fura date atât din rețelele IT de birou (o rețea care conține computere cu acces la internet), cât și din rețeaua restricționată a unei centrale (una care conține active critice și computere cu date foarte sensibile, fără acces la internet). Conform politicilor companiei, între aceste două rețele nu se transferau informații. Cu toate acestea, administratorii se puteau conecta la ambele rețele pentru a le întreține. Lazarus a reușit să obțină controlul stațiilor de lucru ale administratorilor și apoi a creat un gateway rău intenționat pentru a ataca rețeaua restricționată și pentru a fura și extrage date confidențiale de acolo.
„Lazarus a fost probabil cel mai activ actor de amenințare din 2020 și nu pare că acest lucru se va schimba în curând. De fapt, deja în luna ianuarie a acestui an, echipa Google de analiză a amenințărilor a raportat că Lazarus a fost descoprit folosind aceeași tip de atac pentru a viza cercetătorii din domeniul securității cibernetice. Ne așteptăm să descoprim mai multe din ThreatNeedle în viitor și vom fi atenți la aceste lucruri”, spune Seongsu Park, Global Research and Analysis Team (GReAT).
Urmăriți Revista Biz și pe Google News. Abonamente Revista Biz