В середине 2020 года эксперты «Лаборатории Касперского» обнаружили новую вредоносную кампанию группы Lazarus, которая специализируется на сложных целевых атаках. Злоумышленники расширили своё портфолио атаками на оборонную промышленность, в которых они использовали вредоносное ПО ThreatNeedle, относящееся к кластеру Manuscrypt. Среди жертв атак были предприятия из России. Также были зарегистрированы обращения к инфраструктуре злоумышленников из Европы, Северной Америки, Ближнего Востока и Азии, что может говорить о возможных жертвах и в этих регионах.

 

Когда одна из пострадавших организаций обратилась за помощью, эксперты компании обнаружили в сети бэкдор ThreatNeedle, ранее замеченный в атаках Lazarus на криптовалютные компании. Начальное заражение происходило путём целевого фишинга: злоумышленники сделали ставку на актуальную тему — профилактику и диагностику коронавирусной инфекции. Одна из наиболее интересных деталей данной кампании связана с тем, как злоумышленники преодолели сегментацию сети. Сеть атакованного предприятия была разделена на два сегмента: корпоративный (сеть, компьютеры которой имеют доступ к интернету) и изолированный (сеть, компьютеры которой содержат конфиденциальные данные и не имеют доступа к интернету). Злоумышленникам удалось получить учётные данные от маршрутизатора, используемого администраторами для подключений к изолированной и корпоративной сетям. Изменив его настройки и установив на нём дополнительное ПО, они смогли превратить его в хостинг вредоносного ПО в сети предприятия. После этого маршрутизатор использовался для проникновения в изолированный сегмент, вывода данных из него и отправки их на командный сервер.

 

«Lazarus — не только сверхактивная группа, но и весьма продвинутая. Злоумышленники не только преодолели сегментацию сети, но и провели тщательное исследование, чтобы создать персонализированную и эффективную фишинговую рассылку и кастомизированные инструменты для передачи украденной информации на удалённый сервер. Предприятиям необходимо принимать дополнительные меры безопасности для защиты от такого рода кампаний кибершпионажа», — поясняет Вячеслав Копейцев, старший эксперт Kaspersky ICS CERT.

 

Больше узнать об атаке с применением бэкдора ThreatNeedle можно здесь: https://ics-cert.kaspersky.ru/reports/2021/02/25/lazarus-targets-defense-industry-with-threatneedle/.

.

Представительство компании «Лаборатория Касперского» в Армении

 

 

 

  -   Организации