В вашей корзине
(пусто)
26
Фев
21
26 Февраля 2021, 09:57
В середине 2020 г. эксперты «Лаборатории Касперского» обнаружили новую вредоносную кампанию APT-группы Lazarus — злоумышленники расширили свое портфолио атаками на оборонную промышленность, в которых они использовали вредоносное ПО ThreatNeedle, относящееся к кластеру Manuscrypt.
В результате атакующим удалось преодолеть сегментацию сети и получить доступ к конфиденциальной информации. Среди жертв атак были предприятия из России. Также были зарегистрированы обращения к инфраструктуре злоумышленников из Европы, Северной Америки, Ближнего Востока и Азии, что может говорить о возможных жертвах и в этих регионах.
Начальное заражение происходило путем целевого фишинга: злоумышленники направляли письма с вредоносными документами Microsoft Word или ссылками на такие документы, размещенные на удаленном сервере. Ставка делалась на актуальную тему — профилактику и диагностику коронавирусной инфекции. Письма были написаны якобы от имени сотрудника медицинского центра, входящего в состав атакованной организации. Если пользователь открывал вредоносный документ и разрешал выполнение макросов, зловред переходил к многоэтапной процедуре развертывания. После установки ThreatNeedle злоумышленники получали практически полный контроль над устройством.
Lazarus ведет свою деятельность как минимум с 2009 г., организуя широкомасштабные кампании кибершпионажа, операции с применением программ-шифровальщиков и даже атаки на криптовалютный рынок. В последние годы группа была сосредоточена на атаках на финансовые учреждения по всему миру. Однако с начала 2020 г. среди целей злоумышленников оказались и предприятия оборонной промышленности.
В результате атакующим удалось преодолеть сегментацию сети и получить доступ к конфиденциальной информации. Среди жертв атак были предприятия из России. Также были зарегистрированы обращения к инфраструктуре злоумышленников из Европы, Северной Америки, Ближнего Востока и Азии, что может говорить о возможных жертвах и в этих регионах.
Начальное заражение происходило путем целевого фишинга: злоумышленники направляли письма с вредоносными документами Microsoft Word или ссылками на такие документы, размещенные на удаленном сервере. Ставка делалась на актуальную тему — профилактику и диагностику коронавирусной инфекции. Письма были написаны якобы от имени сотрудника медицинского центра, входящего в состав атакованной организации. Если пользователь открывал вредоносный документ и разрешал выполнение макросов, зловред переходил к многоэтапной процедуре развертывания. После установки ThreatNeedle злоумышленники получали практически полный контроль над устройством.
Lazarus ведет свою деятельность как минимум с 2009 г., организуя широкомасштабные кампании кибершпионажа, операции с применением программ-шифровальщиков и даже атаки на криптовалютный рынок. В последние годы группа была сосредоточена на атаках на финансовые учреждения по всему миру. Однако с начала 2020 г. среди целей злоумышленников оказались и предприятия оборонной промышленности.