Lazarus кибергруппасының жаңа толқыны анықталды — Operation DreamJob. Вредоносдық бағдарлама ИТ қызметкерлерінің дағдыларын бағалау тесттері ретінде таралады, деп хабарлайды Kapital.kz бизнес ақпарат орталығына сілтеме жасап Kaspersky GReAT.
Зиянкестер компаниялардың инфрақұрылымын ИТ қызметкерлерінің дағдыларын бағалау тесттері ретінде таралатын файлдық архивтер арқылы жұқтырады. Кибергруппаның жаңа нысандарының арасында атом өнеркәсібі кәсіпорындары бар, деп атап өтті компания.
«Operation DreamJob науқаны Kaspersky GReAT сарапшылары тарапынан 2019 жылы анықталды. Сол кезде ол криптовалюта саласымен байланысты компанияларға бағытталған болатын. 2024 жылы нысандардың қатарында Еуропа, Латын Америкасы, Оңтүстік Корея және Африкадағы ИТ және қорғаныс өнеркәсібі кәсіпорындары пайда болды. Жаңа құрбандар — Бразилиядағы атом өнеркәсібінің қызметкерлеріне бағытталған соңғы шабуылдар болды. Олар ИТ қызметкерлерінің дағдыларын бағалау тесттері ретінде таралған файлдық архивтер алды. Шабуылдаушылар бастапқы нұсқауларды тарату және мақсатты жүйелерге қол жеткізу үшін танымал жұмыс іздеу платформасын пайдаланды», - деп хабарлайды Kaspersky GReAT.
Lazarus зиянды бағдарламаларды тарату әдістерін дамытып, жүктеушілер мен бэкдорлар сияқты әртүрлі зиянды бағдарламалардың түрлерін қамтитын күрделі жұқтыру тізбегін пайдаланады.
Сарапшылардың айтуы бойынша, жаңа көпсатылы шабуыл VNC троянын, Windows үшін қашықтан жұмыс үстелдерін қарау бағдарламасын және зиянды бағдарламаны жеткізу үшін заңды VNC құралын қамтыды. Алғашқы кезеңде AmazonVNC.exe трояны Ranid Downloader деп аталатын жүктеушіні декодтап, VNC орындалатын файлының ішкі ресурстарын шығарады. Екінші архивте MISTPEN зиянды бағдарламасын жүктейтін vnclang.dll зиянды файлы болды, ол кейін RollMid және жаңа LPEClient нұсқаларын жүктеді.
Жаңа зиянды бағдарлама — шабуылдаушылар Kaspersky GReAT сарапшылары CookiePlus деп атаған бұрыннан белгісіз бэкдорды пайдаланды. Ол Notepad++ ашық кодты мәтін редакторының заңды плагині ретінде таралады. CookiePlus жүйе туралы ақпарат жинайды, соның ішінде компьютердің атауы, процесс ID, файл жолдары, және басты модульді біраз уақытқа ұйықтауға мәжбүр етеді. Ол сондай-ақ шабуылдаушыларға қажетті әрекеттерді орындау кестесін орнатып, конфигурация файлын өзгертеді, деп атап өтеді сарапшылар.
«Бұл кибершпиондық науқан өте қауіпті. Зиянды бағдарламаның әрекеттерін кейінге қалдыру мүмкіндігі оған жүйеге ену кезінде анықталудан қашуға және одан ұзақ уақыт бойы қалуға мүмкіндік береді. Сонымен қатар, зиянды бағдарлама жүйелік процестерді манипуляциялауға қабілетті, бұл оны анықтауды қиындатады және жүйенің одан әрі зақымдалуына немесе зиянды пайдаланылуына әкелуі мүмкін», — дейді Kaspersky GReAT-тың жетекші сарапшысы Василий Бердников.