zakonkz.com

Lazarus наносит удар по атомной отрасли с помощью нового вредоносного программного обеспечения.

Злоумышленники проникают в корпоративную инфраструктуру, используя файловые архивы для распространения вредоносного ПО.
Lazarus наносит удар по атомной отрасли с помощью нового вредоносного программного обеспечения.

Обнаружена новая волна ключевой операции кибергруппы Lazarus — Operation DreamJob. Вредоносное ПО распространяется под предлогом тестов для оценки навыков кандидатов на ИТ-должности, сообщает центр деловой информации Kapital.kz со ссылкой на Kaspersky GReAT.

Злоумышленники заражают инфраструктуру компаний через файловые архивы, выдаваемые за тесты на оценку навыков кандидатов на ИТ-позиции. Среди новых целей кибергруппы — предприятия атомной отрасли, на что обратили внимание в компании.

«Кампания Operation DreamJob была выявлена экспертами Kaspersky GReAT в 2019 году. В то время она нацеливалась на компании по всему миру, связанные с криптовалютами. В 2024 году в числе целей оказались компании из сферы ИТ и предприятия оборонной индустрии в Европе, Латинской Америке, Южной Корее и Африке. Новые жертвы — последняя зафиксированная волна атак была направлена на сотрудников атомной промышленности в Бразилии. Они получили файловые архивы под видом тестов на оценку навыков претендентов на ИТ-позиции. Похоже, атакующие использовали популярную платформу для поиска работы, чтобы распространить первоначальные инструкции и получить доступ к целевым системам», - сообщает Kaspersky GReAT.

Lazarus совершенствует свои методы доставки вредоносного ПО, используя сложные цепочки заражения, включающие различные виды вредоносных программ, такие как загрузчики и бэкдоры.

Как поясняют специалисты, новая многоступенчатая атака включала троянскую VNC-программу, программу для удаленного доступа к рабочим столам Windows и легитимный VNC-инструмент для доставки вредоносного ПО. На первом этапе троянец AmazonVNC.exe расшифровывал и запускал загрузчик под названием Ranid Downloader для извлечения внутренних ресурсов исполняемого файла VNC. Второй архив содержал вредоносный файл vnclang.dll, загружавший вредоносную программу MISTPEN, которая затем загружала другие зловреды, включая RollMid и новую версию LPEClient.

Новое вредоносное ПО — атакующие использовали ранее неизвестный бэкдор, который эксперты Kaspersky GReAT назвали CookiePlus. Он распространялся под видом легитимного плагина для текстового редактора с открытым исходным кодом Notepad++. CookiePlus собирает данные о системе, включая имя компьютера, ID процесса, пути к файлам, и заставляет главный модуль уходить в спящий режим на некоторое время. Он также настраивает расписание выполнения необходимых атакующим действий, изменяя конфигурационный файл, отмечают эксперты.

«Эта кампания кибершпионажа представляет собой серьезную угрозу. Способность вредоносного ПО откладывать свои действия позволяет ему избегать обнаружения в момент проникновения в систему и дольше оставаться в ней. Кроме того, зловред может манипулировать системными процессами, что затрудняет его выявление и может привести к дальнейшему повреждению или злонамеренной эксплуатации системы», — комментирует ведущий эксперт Kaspersky GReAT Василий Бердников.