Lazarus атакует атомную промышленность новым вредоносным ПО

Lazarus атакует атомную промышленность новым вредоносным ПО

Эксперты Kaspersky GReAT обнаружили новую волну ключевой операции кибергруппы Lazarus — Operation DreamJob. Злоумышленники заражают инфраструктуру компаний через файловые архивы, которые распространяются под видом тестов на оценку навыков кандидатов на ИТ-позиции. В числе новых целей кибергруппы — предприятия атомной промышленности.

Кампания Operation DreamJob была обнаружена экспертами Kaspersky GReAT в 2019 году. Тогда она была направлена на компании по всему миру, связанные с криптовалютами. В 2024 году в числе целей появились компании из сферы ИТ и предприятия оборонной отрасли в Европе, Латинской Америке, Южной Корее и Африке.

Новые жертвы. Последняя зафиксированная волна атак была нацелена на сотрудников атомной отрасли в Бразилии. Они получили файловые архивы под видом тестов на оценку навыков претендентов на ИТ-позиции. Похоже, что атакующие использовали популярную платформу для поиска работы, чтобы распространить первоначальные инструкции и получить доступ в целевые системы.

Lazarus развивает свои методы доставки вредоносного ПО, используя сложную цепочку заражения, включающую разные типы вредоносных программ, такие как загрузчики и бэкдоры.

Новая многоступенчатая атака включала в себя троянскую VNC-программу, программу для просмотра удалённых рабочих столов для Windows и легитимный VNC-инструмент для доставки вредоносного ПО. На первом этапе троянец AmazonVNC.exe расшифровывал и запускал загрузчик под названием Ranid Downloader для извлечения внутренних ресурсов исполняемого файла VNC. Второй архив содержал вредоносный файл vnclang.dll, загружавший вредоносную программу MISTPEN, которая затем загружала другие зловреды, включая RollMid и новый вариант LPEClient.

Новое вредоносное ПО. Атакующие использовали ранее неизвестный бэкдор, который эксперты Kaspersky GReAT назвали CookiePlus. Он распространялся под видом легитимного плагина для текстового редактора с открытым исходным кодом Notepad++. CookiePlus собирает данные о системе, включая имя компьютера, ID процесса, пути к файлам, и заставляет главный модуль уходить в спящий режим на некоторое время. Он также настраивает расписание выполнения необходимых атакующим действий, изменяя конфигурационный файл.

«Эта кампания кибершпионажа весьма опасна. Способность вредоносного ПО откладывать свои действия позволяет ему избегать обнаружения в момент проникновения в систему и дольше находиться в ней. Кроме того, зловред умеет манипулировать системными процессами, что затрудняет его выявление и может привести к дальнейшему повреждению или злонамеренной эксплуатации системы», — комментирует Василий Бердников, ведущий эксперт Kaspersky GReAT.

О Kaspersky GReAT

Глобальный центр исследования и анализа угроз Kaspersky GReAT основан в 2008 году. В его задачи входит поиск и исследование наиболее сложных атак, кампаний кибершпионажа, новых методов заражения, эксплойтов, использующих уязвимости нулевого дня. Сегодня в команде центра более 40 экспертов, работающих по всему миру — в Европе, России, Северной и Южной Америке, Азии, на Ближнем Востоке. Они известны своими достижениями в расследовании наиболее сложных атак, включая кампании кибершпионажа и киберсаботажа.

Оцените новость

  • Ваша оценка
Итоги:
Проголосовало людей: 1

Оставить комментарий

Ваш e-mail не будет опубликован. Поля обязательны для заполненеия - *

  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent
Кликните на изображение чтобы обновить код, если он неразборчив

Актуальные новости

Логотип

О портале

Новостной портал Казахстана, только свежие новости со всего мира!

© 2024 INFOZAKON. Все права защищены.

×