В подземных темных сетях они известны как «Группа Лазаря», но источники в разведке говорят, что они - цифровая армия Северной Кореи. Возможно, вы слышали это имя раньше в печально известном взломе Sony Pictures в 2014 году.
Но их последняя операция имеет новую цель - криптовалюту, и была обнаружена компанией кибербезопасности Secureworks.
Основное внимание в атаке уделяется руководителям финансовых фирм, которые владеют криптовалютами и управляют ими, и это работает следующим образом: руководитель получает электронное письмо, в котором говорится, что есть возможность подняться в ряды и стать финансовым директором компании.
Есть вложение в виде файла Microsoft Word. При открытии они получают уведомление «необходимо разрешить редактирование для просмотра документа», и когда пользователь нажимает «ОК», запускается встроенный скрипт, который выполняет 2 действия.
Сначала он создает, затем открывает безобидный документ - реальное описание работы, чтобы отвлечь пользователя и не подозревать.
Во-вторых, тайно запускает инстилляцию троянского вируса.
Хотя троянские программы удаленного доступа не являются чем-то новым и даже могут быть куплены и проданы на подпольных форумах даркнета, в этом один из них выделяется тем, что он, похоже, не является разновидностью ранее известных троянов - этот, похоже, был недавно закодирован с нуля. ,
Оценивая код, Secureworks Counter Threat Unit распознал что-то из предыдущих операций в Северной Корее - это сильная зависимость от протокола C2, который Lazarus Group использовал в прошлом для связи со своими главными серверами управления и контроля.
Первые открытия этой новой атаки начались в октябре и продолжаются сегодня.
Тем, кто считает, что они могут быть целью таких атак, рекомендуется убедиться, что макросы отключены в Microsoft Word, и требуется двухфакторная проверка подлинности в системах с конфиденциальными данными.
-------
Автор: Росс Дэвис
Служба новостей Сан-Франциско
Нет комментариев
Оставить комментарий