Rambler's Top100
 
Все новости Новости отрасли

Хакеры из Северной Кореи впервые в истории напали на Россию

20 февраля 2019

Хакеры Северной Кореи впервые за всю историю исследования информационной безопасности совершили атаку на организации, которые базируются в России.

Как сообщет CNews со ссылкой на данные Check Point, до этого северокорейские хакеры не атаковали Россию, поскольку страны поддерживают дружеские отношения.

Как поясняет Check Point, данная вредоносная активность регистрировалась на протяжении последних нескольких недель. «Мы впервые наблюдаем то, что выглядит как скоординированная атака Северной Кореи против российских организаций», — отмечают исследователи.

Атака была проведена группировкой Lazarus, а точнее ее «коммерческим» филиалом Bluenoroff, который осуществляет хакерские операции ради наживы. У Lazarus есть и другой филиал — Andariel — который занимается кибератаками на Южную Корею. Считается, что Bluenoroff стоит за взломом серверов Sony Pictures Entertainment в 2014 г. Им же приписывают похищение $81 млн у Центробанка Бангладеш в 2016 г. и ограбление как минимум пяти криптовалютных бирж на миллионы долларов.

Новая атака проходила следующим образом. На компьютер пользователя присылалось электронное письмо, которое содержало вредоносные файлы PDF и Word, упакованные в ZIP-архив. Исследователи поясняют, что документы Office были разработаны явно для российских пользователей. На основании этого и было сделано заключение, что мишенями являются российские организации.

Файл PDF служил приманкой, а файл Word, содержащий макросы, являлся непосредственно вредоносным. PDF-приманка представляла собой соглашение о неразглашении информации, составленное якобы от лица российской компании StarForce Technologies (ООО «Протекшен технолоджи»), которая создает решения для защиты контента от копирования. Благодаря этому файлу все письмо выглядело более достоверным.
Вредоносное ПО

Документы Office были первым звеном вредоносной цепочки, которая в конечном счете приводила к загрузке бэкдора Keymarble, что является одним из главных доказательств причастности Lazarus к атакам. По данным компьютерной команды экстренной готовности (US-CERT) Министерства внутренней безопасности США, троян предназначен для получения удаленного доступа к данным, инструкции ему присылает удаленный сервер. В качестве механизма защиты данных и связи с сервером используется алгоритм шифрования XOR.

После получения файла Word активировались макросы, которые загружали вредоносный скрипт VBS из Dropbox URL. Затем уже сам VBS загружал файл CAB и извлекал встроенный файл EXE, то есть сам бэкдор, через утилиту Windows expand.exe, после чего бэкдор наконец-то исполнялся. Впоследствии злоумышленники упростили схему — загрузка бэкдора стала возможна непосредственно с помощью макросов в документе Word.

Источник: CNews

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.