Badacze bezpieczeństwa ostrzegają, że w ostatnich atakach północnokoreańska grupa hakerska Lazarus wykorzystała nowe złośliwe oprogramowanie dla systemów macOS i Windows. O grupie tej pisaliśmy już wielokrotnie.
W jednej z serii uderzeń inżynierowie blockchain na platformie wymiany kryptowalut zostali zaatakowani za pomocą aplikacji w języku Python, zaprojektowanej w celu zapewnienia początkowego dostępu. Ostatecznie skutkowało to załadowaniem plików binarnych do pamięci.
W ramach ataku Lazarus podszywał się pod członków społeczności blockchain na publicznym kanale Discord, przekonując ofiarę do pobrania archiwum zawierającego złośliwy kod.
Pod koniec wieloetapowego procesu, obejmującego różne techniki unikania i programy ładujące, na komputerze docelowym uruchomiono nowe szkodliwe oprogramowanie dla systemu macOS o nazwie KandyKorn, umożliwiające hakerom dostęp do danych systemowych i ich wydobywanie.
Po zainstalowaniu szkodliwe oprogramowanie czekało, aż jego serwer dowodzenia i kontroli (C&C) wyśle polecenia umożliwiające mu: zbieranie informacji, wyświetlanie listy katalogów, wyświetlanie listy uruchomionych procesów, pobieranie plików, przesyłanie plików, archiwizowanie katalogów i ich eksfiltrację, usuwanie plików, zabijanie procesów, wykonywanie polecenia za pomocą terminala, pobieranie konfiguracji z serwera oraz uśpienie czy zamknięcie systemu.
Zagrożenie zidentyfikowała i przeanalizowała firma Elastic Security. Określili oni KandyKorn jako zaawansowany implant posiadający różnorodne możliwości monitorowania, interakcji i unikania wykrycia.
Zaobserwowano również, że Lazarus przeprowadził serię ataków na kilka ofiar korzystających z oprogramowania zabezpieczającego do szyfrowania komunikacji internetowej. Hakerzy wykorzystali fakt, że dostawca aplikacji został narażony na szwank w wyniku niezałatanych luk w zabezpieczeniach jego ekosystemu IT.
W ramach ataku Lazarus wdrożył nowy backdoor dla systemu Windows o nazwie Signbt, który jest uruchamiany przy użyciu modułu ładującego działającego wyłącznie w pamięci, wyjaśnia z kolei Kaspersky.
Po nawiązaniu komunikacji C&C szkodliwe oprogramowanie pobiera „odcisk palca” systemu i wysyła informacje do serwera. Odpytuje również serwer o polecenia do wykonania.
Signbt zapewnia atakującym pełną kontrolę nad maszyną ofiary, umożliwiając im kradzież informacji i wdrażanie dodatkowych ładunków w pamięci, w tym złośliwego oprogramowania LPEClient i narzędzi do zrzucania danych uwierzytelniających.
„Podmiot zagrażający wykazał się głębokim zrozumieniem środowisk IT i udoskonalił swoją taktykę, uwzględniając wykorzystywanie luk w zabezpieczeniach prestiżowego oprogramowania. Takie podejście pozwala na skutecznie rozprzestrzenianie szkodliwego oprogramowania po osiągnięciu początkowych infekcji” – zauważa Kaspersky.