Sākumlapa » Apdraudējumi » Lazarus eksperimentē ar jaunu izspiedējprogrammatūru

Lazarus eksperimentē ar jaunu izspiedējprogrammatūru

Ar Ziemeļkoreju saistītais kiberuzbrucēju grupējums Lazarus vienmēr ir izcēlies ar to, ka izmanto metodes, kādas raksturīgas valstu atbalstīto grupējumu APT uzbrukumiem, bet tas specializējas finanšu kibernoziegumos. Nesen Kaspersky eksperti atrada jaunu, iepriekš neizpētītu ļaunprogrammu VHD, ar kuru Lazarus, šķiet, eksperimentē.

 

 

No funkciju viedokļa VHD ir diezgan parasts izspiedējvīruss. Tas pārlasa diskus, kas savienoti ar upura datoru, šifrē failus un izdzēš visas System Volume Information (sistēmas sējuma informācijas) mapes, tādējādi sabotējot programmas System Restore darbību Windows sistēmā. Turklāt tas var apturēt procesus, piemēram, Microsoft Exchange vai SQL Server, kas potenciāli varētu traucēt svarīgu failu modificēšanu.

Bet patiešām interesanti ir tas, kā VHD nokļūst datorā, jo tā piegādes mehānismiem daudz kas ir kopīgs ar APT uzbrukumiem. Kaspersky eksperti nesen izpētīja pāris ļaunprogrammatūras VHD incidentu un analizēja uzbrucēju darbības katrā no tiem.

 

Padziļināts uzbrukums upura tīklā

Pirmajā incidentā Kaspersky ekspertu uzmanību piesaistīja kaitīgais kods, kas atbild par VHD izplatīšanos upura tīklā. Izrādījās, ka izspiedējvīrusa rīcībā bija upura datoru IP adrešu saraksts, kā arī pieejas datu komplekts kontiem ar administratora tiesībām. Tas izmantoja šos datus uzbrukumiem SMB servisam ar piemeklēšanas paņēmienu. Ja ļaunprogrammatūrai izdevās izveidot savienojumu ar kāda cita datora tīkla mapi, izmantojot SMB protokolu, tas pārkopējās un aktivizējās, šifrējot arī to datoru.

Tāda rīcība nav īpaši raksturīga masveidā pielietotajiem izspiedējvīrusiem. Tas rosina domāt, ka bija notikusi vismaz provizoriska upura infrastruktūras izpēte, kāda ir raksturīga valsts līmeņa kiberuzbrucēju APT kampaņām.

 

Infekciju virkne

Nākamreiz, kad Kaspersky Global Emergency Response Team (globālā ārkārtas reaģēšanas komanda) šīs izpētes laikā saskārās ar šo izspiedējvīrusu, pētniekiem izdevās izsekot visu darbību virkni. Viņi noskaidroja, ka kibernoziedznieki:

  1. piekļuvuši upuru datorsistēmām, izmantojot ievainojamu VPN vārteju;
  2. ieguvuši administratora tiesības kompromitētos datoros;
  3. uzstādījuši tur lūku;
  4. pārņēmuši savā varā Active Directory serveri;
  5. inficējuši visus datorus šajā tīklā ar VHD izspiedējvīrusu, izmantojot ielādētāju, kas speciāli izstrādāts šim nolūkam.

Turpmākā izmantoto rīku analīze parādīja, ka lūka ir daļa no daudzplatformu ietvarstruktūras MATA (daži Kaspersky kolēģi to dēvē par “Dacls”, bet par nesen iznākušu Kaspersky ziņojumu par MATA lasiet “What’s new for North Korean hackers? Kaspersky says they’re polishing tools, finding new targets“). Kaspersky secināja, ka tas ir vēl viens Lazarus rīks.

Šo rīku detalizētu tehnisko analīzi kopā ar kompromitēšanas indikatoriem atradīsiet Kaspersky vietnes Securelist attiecīgajā rakstā “Lazarus on the hunt for big game”.

Patiesībā, Kaspersky vietnē Securelist jūs varat atrast nupat Eiropas Savienības sankcionētos un citus Ziemeļkorejas, Ķīnas un Krievijas kiberuzbrucēju grupējumus ar viņu kampaņām un ļaunprogrammatūras rīkiem (jāņem vērā, ka katram parasti ir vairāki nosaukumi), bet Eiropas Savienības Kiberdrošības aģentūra (ENISA) savos pārskatos ļoti bieži atsaucas uz vietni Securelist, kā arī Kaspersky pētījumiem un pārskatiem. Piemēram, kiberdraudu pārskatā ENISA Threat Landscape Report 2018 no kiberdrošības uzņēmumiem visvairāk atsauču ir uz Kaspersky un uz uzņēmuma vietni Securelist!

Interesants, piemēram, ir fakts, ka, kamēr ES sankciju dokumentā tiek runāts tikai par Ķīmisko ieroču aizlieguma organizācijas (OPCW) datorsistēmas uzlaušanas mēģinājumu 2018. gadā Nīderlandē, Kaspersky 2018. gada vasarā vietnē Securelist publicēja ziņojumu ar tehniskām detaļām par uzbrukumiem bioloģisko un ķīmisko uzbrukumu apdraudējumu apkarošanas laboratorijām Francijā, Šveicē, Vācijā, Ukrainā un Nīderlandē, turklāt atklājot šo uzbrukumu saistību ar uzbrucēju Hades APT 2018. gada ziemas Olimpiskajām spēlēm Dienvidkorejā. Kiberdrošības eksperti saista Hades APT ar Krievijas dienestu kiberuzbrucēju grupējumiem un kampaņām.

 

Kā pasargāt savu uzņēmumu

Izspiedējvīrusa VHD saimnieki acīmredzami ir galvastiesu pārāki par parastajiem korporatīvo datoru inficētājiem ar izspiedējvīrusiem. Viņu ļaunprogrammatūra nav visiem pieejama hakeru forumos; drīzāk tā ir īpaši izstrādāta mērķtiecīgiem uzbrukumiem. Metodes, kādas tā izmanto, lai iekļūtu upura infrastruktūrā un izplatītos tīklā, atgādina sarežģītos APT uzbrukumus.

Pakāpeniska robežu izzušana starp finanšu kibernoziegumu rīkiem un valsts līmeņa APT uzbrukumiem pierāda, ka arī mazākiem uzņēmumiem ir jāapsver nepieciešamība izmantot papildus drošības tehnoloģijas šauri mērķētu uzbrukumu atklāšanai un reaģēšanai uz tiem.

Ņemot to vērā, Kaspersky nesen prezentēja vienkāršāk lietojamu integrētu risinājumu ar Endpoint Protection Platform (EPP) un Endpoint Detection and Response (EDR) funkcijām – Kaspersky Endpoint Detection and Response Optimum. Par šo risinājumu vairāk varat uzzināt, lejupielādējot produkta datu lapu (datasheet) un tehnloģiju apskatu (whitepaper) PDF formātā, kā arī pieprasot konsultāciju, izmēģinājumu vai komercpiedāvujumu, aizpildot formu šeit.

 

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

57 + = 60

Uz augšu