Hirdetés
. Hirdetés

A védelmi iparra szállt rá a világ egyik legaktívabb hekkercsoportja

|

Újra támad a Lazarus-csoport.

Hirdetés

A fejlett állandó fenyegetéseket (APT) alkalmazó támadók folyamatosan fejlesztik működési módszereiket. Míg egyesek következetesen ugyanazt a stratégiát alkalmazzák, addig mások új technikákat, taktikákat és eljárásokat vetnek be. A harmadik negyedévben a Kaspersky kutatói azt tapasztalták, hogy a fejlett állandó fenyegetések terén igen eredményes Lazarus-csoport ellátásilánc-támadási eszközöket fejleszt, és kiberkémkedési célokra használja a többplatformos MATA keretrendszerét. Ezt a jelenséget, valamint a világszerte tapasztalható egyéb APT-trendeket vizsgálja a Kaspersky legújabb negyedéves fenyegetéselemzési összefoglalója.

A Lazarus a világ egyik legaktívabb hekkercsoportja, mely legalább 2009 óta működik. Ez az APT-csoport állt több nagyszabású kiberkémkedési és zsarolóvírusos kampány mögött, emellett a védelmi ipar és a kriptovaluta-piac elleni támadásokkal is összefüggésbe hozhatók. Úgy tűnik, a fejlett eszközök széles tárházával rendelkező csoport most új célokat tűzött ki maga elé.

Hirdetés

A Kaspersky kutatói 2021 júniusában megfigyelték, hogy a Lazarus-csoport a védelmi ipart támadja a MATA keretrendszerét alkalmazva, amely három operációs rendszert - a Windowst, a Linuxot és a macOS-t - képes célba venni. A Lazarus eddig különféle iparágak elleni kiberbűnőzéses támadásokhoz, többek között ügyféladatbázis-lopásokhoz és zsarolóvírus-terjesztéshez használta a MATA rendszert, most azonban a szakemberek azt tapasztalták, hogy kiberkémkedés céljára vetik be. A hekkercsoport a kiválasztott áldozata által használt alkalmazás trójai vírussal fertőzött verzióját alkalmazta - ez egyébként egy jól ismert, jellemző módszere a Lazarusnak. Nem ez az első alkalom egyébként, amikor a Lazarus-csoport a védelmi iparág ellen indít támadást, a korábbi Threat Needle elnevezésű akciójukat is hasonló módon hajtották végre 2020 közepén.

Kiderült az is, hogy a Lazarus ellátásilánc-támadási képességeket épít ki; ehhez egy frissített DeathNote klasztert használ, ami a korábban már az USA kiberbiztonsági és infrastruktúra-biztonsági ügynöksége (CISA) által is jelentett BLINDINGCAN malware enyhén módosított variánsát tartalmazza. A Kaspersky kutatói olyan kampányokra bukkantak, amelyek egy dél-koreai kutatóközpontot és egy informatikai eszközfelügyeleti megoldásokat gyártó vállalatot támadtak. A szakemberek által felfedezett első esetnél a Lazarus olyan fertőzési láncot dolgozott ki, amely egy kártékony payloadot alkalmazó, egyébként legitim dél-koreai biztonsági szoftverből eredt; a második esetben pedig a célpont egy eszközfelügyeleti megoldásokat fejlesztő lettországi vállalat volt, amely nem tekinthető a Lazarus tipikus áldozatának. A fertőzési láncban a Lazarus egy "Racket" nevű letöltőprogramot használt, amelyet lopott tanúsítvánnyal írtak alá. A hekkercsoport sérülékeny webszervereket támadott, és feltöltött szkriptekkel szűrte és vezérelte a kártékony beépülő elemeket a sikeresen feltört gépeken.

"Ezek az új fejlemények két dologra világítanak rá: a Lazarust továbbra is érdekli a védelmi iparág, és eszköztárát az ellátási láncok iránti támadásokkal is bővíteni igyekszik. Nem ők az egyetlen APT-csoport azonban, amely ellátási láncok elleni támadást alkalmaz. Az előző negyedévben láthattunk már ilyen támadásokat a SmudgeX és a BountyGlad részéről is. Sikeres végrehajtásuk esetén az ellátási láncok elleni támadások pusztító károkat okozhatnak, és nem pusztán egy szervezetet érintően - ez világosan látszott a tavalyi Solar Winds támadásnál is. Az ilyen eszközökbe beruházó támadók jelenlétében ébernek kell maradnunk, és az adott fronton megvalósítandó védelmi erőfeszítésekre kell koncentrálnunk" - fejtette ki Miroslav Koren, a Kaspersky Kelet-Európáért felelős igazgatója.
A harmadik negyedévi APT trendeket vizsgáló jelentés a Kaspersky csak előfizetők számára elérhető fenyegetéselemzési jelentéseinek megállapításait foglalja össze. A jelentések tartalmazzák többek között a behatolásra utaló jelekkel (Indicators of Compromise (IoC)) kapcsolatos adatokat, valamint az elemzést és a malware-vadászatot segítő YARA szabályokat is.

Hardverek, szoftverek, tesztek, érdekességek és színes hírek az IT világából ide kattintva!

Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.