Echelon Eyes

Хакеры Lazarus нацелились на инженеров-ядерщиков с помощью вредоносного ПО CookiePlus

Хакерская группировка Lazarus, которую связывают с правительством Северной Кореи, была замечена в использовании «сложной цепочки заражения», нацеленной как минимум на двух сотрудников организации, связанной с ядерной сферой, в январе 2024 года.

Согласно «Лаборатории Касперского», хакеры развертывали новый модульный бэкдор под названием CookiePlus в рамках многолетней шпионской кампании, известной как Dream Job, или NukeSped.

Кампания включает в себя нацеливание на разработчиков и сотрудников различных компаний, включая оборонный, аэрокосмический, криптовалютный и другие секторы мировой экономики. Злоумышленники предлагают жертвам фейковые вакансии, а в конечном итоге развертывают на их компьютерах вредоносное ПО.

Последний набор атак, задокументированных «Лабораторией Касперского», включает метод, при котором злоумышленник использует полностью переработанную цепочку заражения, доставляя троянизированную утилиту VNC под предлогом проведения оценки навыков для ИТ-должностей в крупных аэрокосмических и оборонных компаниях.

«Lazarus доставил первый архивный файл как минимум двум людям в одной организации (назовем их Host A и Host B), — сказали исследователи. – Через месяц они попытались провести более интенсивные атаки на первую цель».

Предполагается, что приложения VNC, троянизированная версия TightVNC под названием «AmazonVNC.exe», распространялись как в виде образов ISO, так и в виде файлов ZIP. В других случаях легальная версия UltraVNC использовалась для загрузки вредоносной DLL, упакованной в архив ZIP.

Вредоносный файл «vnclang.dll» служит загрузчиком для бэкдора MISTPEN, который был обнаружен компанией Mandiant в сентябре 2024 года. MISTPEN был обнаружен для доставки двух дополнительных полезных нагрузок под кодовым названием RollMid и нового варианта LPEClient.

«Лаборатория Касперского» заявила, что также наблюдала за развертыванием вредоносного ПО CookieTime на Host A, хотя точный метод, который использовался для его реализации, остается неизвестным. Впервые обнаруженный компанией в сентябре и ноябре 2020 года, CookieTime назван так из-за использования закодированных значений cookie в HTTP-запросах для получения инструкций с сервера управления и контроля (C2).

Исследователи описывают функции вредоносного ПО, используемого хакерами Lazarus. Так, LPEClient оснащена возможностями профилирования скомпрометированных хостов. Еще одна вредоносная программа, ServiceChanger, останавливает целевую легитимную службу, чтобы загрузить встроенную в нее вредоносную DLL с помощью исполняемого файла через стороннюю загрузку DLL. Загрузчик Charamel расшифровывает и загружает внутренние ресурсы, такие как CookieTime, CookiePlus и ForestTiger.

CookiePlus, новая вредоносная программа на основе плагина, загружается как с помощью ServiceChanger, так и Charamel Loader. Она замаскирована под плагин Notepad++ с открытым исходным кодом под названием ComparePlus. Вредоносная программа извлекает полезную нагрузку, закодированную Base64 и зашифрованную RSA, с сервера злоумышленника, которая затем декодируется и расшифровывается для выполнения трех различных шеллкодов или DLL. Шеллкоды оснащены функциями для сбора системной информации и перевода основного модуля CookiePlus в спящий режим на определенное количество минут.

На днях аналитики блокчейна из компании Chainalysis опубликовали отчет, где заявили, что злоумышленники, связанные с Северной Кореей, украли 1,34 млрд долларов США в ходе 47 взломов криптовалют в 2024 году. Это вдвое больше, чем в 2023 году.

Источник: https://securelist.com/lazarus-new-malware/115059/

#Lazarus

Securelist

Lazarus targets nuclear-related organization with new malware

Lazarus targets employees of a nuclear-related organization with a bunch of malware, such as MISTPEN, LPEClient, RollMid, CookieTime and a new modular backdoor CookiePlus.

www.tgoop.com/EchelonEyes/3487

1.2K viewsDec 23 at 09:02

Хакеры Lazarus нацелились на инженеров-ядерщиков с помощью вредоносного ПО CookiePlus

Хакерская группировка Lazarus, которую связывают с правительством Северной Кореи, была замечена в использовании «сложной цепочки заражения», нацеленной как минимум на двух сотрудников организации, связанной с ядерной сферой, в январе 2024 года.

Согласно «Лаборатории Касперского», хакеры развертывали новый модульный бэкдор под названием CookiePlus в рамках многолетней шпионской кампании, известной как Dream Job, или NukeSped.

Кампания включает в себя нацеливание на разработчиков и сотрудников различных компаний, включая оборонный, аэрокосмический, криптовалютный и другие секторы мировой экономики. Злоумышленники предлагают жертвам фейковые вакансии, а в конечном итоге развертывают на их компьютерах вредоносное ПО.

Последний набор атак, задокументированных «Лабораторией Касперского», включает метод, при котором злоумышленник использует полностью переработанную цепочку заражения, доставляя троянизированную утилиту VNC под предлогом проведения оценки навыков для ИТ-должностей в крупных аэрокосмических и оборонных компаниях.

«Lazarus доставил первый архивный файл как минимум двум людям в одной организации (назовем их Host A и Host B), — сказали исследователи. – Через месяц они попытались провести более интенсивные атаки на первую цель».

Предполагается, что приложения VNC, троянизированная версия TightVNC под названием «AmazonVNC.exe», распространялись как в виде образов ISO, так и в виде файлов ZIP. В других случаях легальная версия UltraVNC использовалась для загрузки вредоносной DLL, упакованной в архив ZIP.

Вредоносный файл «vnclang.dll» служит загрузчиком для бэкдора MISTPEN, который был обнаружен компанией Mandiant в сентябре 2024 года. MISTPEN был обнаружен для доставки двух дополнительных полезных нагрузок под кодовым названием RollMid и нового варианта LPEClient.

«Лаборатория Касперского» заявила, что также наблюдала за развертыванием вредоносного ПО CookieTime на Host A, хотя точный метод, который использовался для его реализации, остается неизвестным. Впервые обнаруженный компанией в сентябре и ноябре 2020 года, CookieTime назван так из-за использования закодированных значений cookie в HTTP-запросах для получения инструкций с сервера управления и контроля (C2).

Исследователи описывают функции вредоносного ПО, используемого хакерами Lazarus. Так, LPEClient оснащена возможностями профилирования скомпрометированных хостов. Еще одна вредоносная программа, ServiceChanger, останавливает целевую легитимную службу, чтобы загрузить встроенную в нее вредоносную DLL с помощью исполняемого файла через стороннюю загрузку DLL. Загрузчик Charamel расшифровывает и загружает внутренние ресурсы, такие как CookieTime, CookiePlus и ForestTiger.

CookiePlus, новая вредоносная программа на основе плагина, загружается как с помощью ServiceChanger, так и Charamel Loader. Она замаскирована под плагин Notepad++ с открытым исходным кодом под названием ComparePlus. Вредоносная программа извлекает полезную нагрузку, закодированную Base64 и зашифрованную RSA, с сервера злоумышленника, которая затем декодируется и расшифровывается для выполнения трех различных шеллкодов или DLL. Шеллкоды оснащены функциями для сбора системной информации и перевода основного модуля CookiePlus в спящий режим на определенное количество минут.

На днях аналитики блокчейна из компании Chainalysis опубликовали отчет, где заявили, что злоумышленники, связанные с Северной Кореей, украли 1,34 млрд долларов США в ходе 47 взломов криптовалют в 2024 году. Это вдвое больше, чем в 2023 году.

Источник: https://securelist.com/lazarus-new-malware/115059/

#Lazarus

BY Echelon Eyes