ESET: хакеры Lazarus переключились на Центральную Америку
25 апр 2018 13:40 #68594
от ICT
ICT создал тему: ESET: хакеры Lazarus переключились на Центральную Америку
Специалисты ESET обнаружили новые следы активности кибергруппы Lazarus. Эксперты установили, что хакеры стоят за атаками на онлайн-казино в Центральной Америке и некоторые другие цели. Группа Lazarus получила известность после кибератаки на Sony Pictures Entertainment в 2014 г. Далее специалисты по информационной безопасности детально изучили и связали с этой группой целый ряд инцидентов: эпидемию Wannacry, атаки на банки в Польше и Мексике, фишинговые атаки на подрядчиков Министерства обороны США и др. В этих кампаниях атакующие использовали схожие вредоносные инструменты, включая деструктивное ПО (вайпер) KillDisk, которое запускалось на зараженных устройствах. Эксперты ESET изучили инструменты, обнаруженные на серверах и рабочих станциях ИТ-сети онлайн-казино в Центральной Америке, и установили их связь с Lazarus. По оценке специалистов, это была сложная многоэтапная атака с использованием десятков защищенных инструментов. Один из этих инструментов – бэкдор Win64/NukeSped.W, поддерживающий 20 команд, которые совпадают с функциями ранее изученных образцов Lazarus. Второй – консольное приложение Win64/NukeSped.AB. Анализ подтвердил, что этот файл связан с ПО, используемым в атаках на польские и мексиканские объекты. Эти инструменты использовались в сочетании с двумя вариантами вайпера Win32/KillDisk.NBO, заразившим больше ста машин в сети. Есть несколько возможных объяснений его появления: хакеры могли скрывать следы после атаки, либо использовать KillDisk для вымогательства или киберсаботажа. В любом случае, это масштабное заражение, указывающее на значительные ресурсы атакующих. Данные телеметрии ESET, а также одновременное использование Win32/KillDisk.NBO и других известных инструментов Lazarus в зараженной сети указывают на то, что вайпер развернули именно хакеры Lazarus, а не какая-либо другая кибергруппа. Помимо этого, атакующие использовали как минимум два дополнительных инструмента: модифицированную версию Mimikatz для извлечения учетных данных Windows и Browser Password Dump для восстановления паролей из популярных веб-браузеров.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
| Тема | Релевантность | Дата |
|---|---|---|
| Eset: хакеры Turla меняют тактику | 11.47 | Среда, 30 мая 2018 |
| Eset: хакеры подписывали вредоносное ПО сертификатом D-Link | 11.35 | Вторник, 10 июля 2018 |
| Eset: хакеры нашли слабое звено в российских банках | 11.23 | Вторник, 13 декабря 2016 |
| Eset: хакеры Turla атакуют пользователей Microsoft Outlook | 11.23 | Понедельник, 27 августа 2018 |
| Eset: хакеры майнят криптовалюту через браузеры российских пользователей | 11.11 | Понедельник, 18 сентября 2017 |
| Eset: хакеры PowerPool используют в целевых атаках уязвимость нулевого дня | 11.11 | Понедельник, 10 сентября 2018 |
| Группировка Lazarus атаковала криптовалютную биржу с помощью Mac-зловреда | 10.12 | Четверг, 23 августа 2018 |
| Eset представит новую бизнес-версию решений Eset NOD32 на мероприятиях Eset Road Show | 10.08 | Пятница, 17 апреля 2015 |
| "Витте Консалтинг" автоматизирует центральную диспетчерскую службу в АК "Алроса" | 9.74 | Среда, 08 апреля 2015 |
| Мошенники переключились на фишинг | 9.68 | Вторник, 05 сентября 2023 |