Караульный Z
112K subscribers
198K photos
88.5K videos
269 files
178K links
Медиапространство ручной работы.
Download Telegram
Forwarded from SecAtor
Хотим сказать дорогим подписчикам, что мы не забыли про обзоры APT и сейчас готовим очередные материалы, посвященные северокорейским хакерским группам.

Но дело в том, что эти Хон Гиль Доны наворотили столько, что мы в первичке просто закопались. Тем не менее, мы упрямо пытаемся затолкать все это в формат Телеграм.

Подождите, дети, дайте только срок.
Будет вам и белка, будет и свисток (с)

#APT #Lazarus #Kimsuky
Forwarded from SecAtor
А пока мы пишем (и все никак не допишем, shame on us) обзор про северокорейских хакеров из APT Lazarus, они хулиганить не прекращают.

Команда исследователей RedDrip Team китайской инфосек компании QiAnXin Technology нашла вредонос от Lazarus, маскирующийся под предложение о работе от компании Disney. Для размещения управляющего центра корейские хакеры взломали сервер известной итальянской фирмы Paghera, специализирующейся на ландшафтном дизайне.

А подчиненные Ким Чен Ына умеют веселиться.

Никому предложение о трудоустройстве в Disney не приходило? Мы, кстати, сейчас не шутим, поскольку Lazarus, в числе прочего, были замечены и в работе по российским пользователям.

#APT #Lazarus

https://twitter.com/RedDrip7/status/1270201358721769475
Forwarded from SecAtor
Наши любимцы из северокорейской APT Lazarus, которая является, пожалуй, самой активной хакерской группой в мире, в очередной раз проявились.

Вчера команда исследователей GReAT Лаборатории Касперского опубликовала отчет, в котором описала выявленную вредоносную кампанию получившую название MATA, активную с апреля 2018 года.

MATA - это модульная вредоносная структура с несколькими компонентами, в которую входят загрузчик, оркестратор и набор плагинов, способная заражать машины под управлением Windows, Linux и macOS. Позволяет хакерам брать практически под полный контроль скомпрометированную систему и используется для проникновения в атакуемую сеть.

В качестве целей выступали корпоративные сети Польши, Германии, Турции, Южной Кореи, Японии и Индии. Основная задача - нахождение и эксфильтрация баз данных с конфиденциальной информацией атакованной компании.

Анализ TTPs показал, что за кибероперацией MATA стоит Lazarus. Основным доказательством послужили уникальные обозначения компонентов вредоносного ПО, ранее использовавшиеся в трояне Manuscrypt (он же FALLCHILL или Volgmer) за авторством северокорейских хакеров, а также сходства в механизмах их работы.

#APT #Lazarus
Forwarded from SecAtor
​​И снова Lazarus.

На прошлой неделе Лаборатория Касперского выпустила отчет о выявленной кибероперации MATA, в процессе которой северокорейская APT Lazarus использовала модульную вредоносную структуру, способную заражать машины под управлением Windows, Linux и macOS, для атак на корпоративные сети Польши, Германии, Турции, Южной Кореи, Японии и Индии. Мы писали про это здесь.

Сегодня Касперские выпустили новый отчет, в котором рассказали про выявленный в этом году инцидент с заражением некой европейской компании неизвестным ранее ransomware VHD. Среди любопытных фишек VHD - "нестандартная криптография" с использованием генератора псевдослучайных чисел Вихрь Мерсенна и шифрование файлов комбинацией AES-256 в режиме ECB и RSA-2048.

Но гораздо интереснее то, что методика распространения вымогателя внутри атакованной сети сильно напоминала используемую APT, а конкретнее - применявшуюся в киберкампаниях Sony, Shamoon и OlympicDestroyer (намек в сторону Lazarus).

И вот, спустя два месяца ЛК получила данные в отношении второго инцидента, в котором атакованная сеть была скомпрометирована через уязвимый VPN-шлюз, а бэкдор, использовавшийся хакерами во время распространения вымогателя VHD, являлся частью вредоносной платформы MATA, что окончательно доказало тот факт, что оператором ransomware VHD является северокорейская группа Lazarus.

Заметим, что, скорее всего, это не первая попытка Lazarus "поиграть" в ransom, ведь авторство всем известного WannaCry также предписывается хакерам из КНДР. Да и неудивительно - северокорейцам всегда необходимо дополнительное финансирование своих киберопераций.

Тем не менее, с точки зрения прогосударственной APT выход на "рынок" ransomware - шаг весьма неординарный. До сих пор единственная аналогия, которая приходит нам в голову - заявления некоторых инфосек экспертов о причастности Cozy Bear и Fancy Bear к созданию вымогателя Maze (весьма спорные, по нашему мнению).

#APT #Lazarus
Forwarded from SecAtor
​​Американское Агентство кибербезопасности (CISA) совместно с ФБР вчера выпустили отчет о новом вредоносе, используемом северокорейской APT Lazarus (американцы традиционно называют групп Hidden Cobra).

Вредонос представляет собой RAT (троян удаленного доступа), получивший название BLINDINGCAN. Он предназначен для сбора информации с зараженного хоста и ее эксфильтрации, а также обладает функционалом по очистке следов своего присутствия в атакованной системе.

Механизм распространения BLINDINGCAN - целевой фишинг, объектами атаки являлись сотрудники оборонного и аэрокосмического сектора. Северокорейские хакеры выдавали себя за рекрутеров крупных корпораций, а в ходе собеседования присылали файлы с вредоносным вложением.

Одной из используемых шаблонных фраз было предложение "работы мечты" (dream job). Поэтому инфосек вендор ClearSky назвал эту кампанию северокорейских хакеров Operation Dream Job.

А мы в который раз убеждаемся, что Lazarus - самая активная прогосударственная хакерская группа на планете.

#APT #Lazarus
Forwarded from SecAtor
Северокорейские хакеры из APT Lazarus использовали в своей новой вредоносной кампании, направленной на пользователей из Южной Кореи, интересный метод заражения, пишут в свежем отчете исследователи из словацкого инфосек вендора ESET.

Cловаки называют новую операцию Lazarus "атакой на цепочку поставок", но мы бы сказали, что это гибрид "атаки на цепочку поставок" и "атаки на водопой".

В этот раз хакеры из КНДР воспользовались недостатком в южнокорейском программном обеспечении WIZVERA VeraPort, которое используется для управления установкой дополнительных программ безопасности. К примеру, при посещении банковского сайта пользователя просят установить ПО для проверки личности или специализированный модуль для браузера. Все это в автоматическом режиме обеспечивает WIZVERA VeraPort.

Для получения данных о ПО, которое необходимо загрузить с конкретного ресурса, VeraPort берет с целевого сайта файл конфигурации, подписанный цифровой подписью. Там используется RSA и взламывать ее весьма трудоемко, поэтому Lazarus придумали другой трюк.

Они скомпрометировали несколько сайтов, поддерживающих VeraPort, и заменили легальное ПО, которое должно было загрузиться на компьютер пользователя, вредоносным доппельганером. Недостаток VeraPort проявился в том, что программа проверяет только подлинность цифровой подписи загружаемых двоичных файлов, но не проверяет принадлежит ли эта подпись сайту, с которого идет загрузка, если не включена опция проверки хэша загружаемого файла.

Северокорейцы, скомпрометировав две подобные цифровые подписи, которые принадлежат южнокорейским филиалам двух американских компаний по безопасности, пописали ими свои вредоносы и разметили на взломанных сайтах. Таким образом пользователи при обращении к этим сайтам автоматически загружали себе полный комплект радости, включая полноценный троян удаленного доступа (RAT).

В этот раз ESET провели хорошую работу по атрибуции и принадлежность атаки именно APT Lazarus подтверждена большим количеством TTPs, как то - совпадения в коде, вредоносной инфраструктуре, методах шифрования и пр.

Эта атака лишний раз подтверждает нашу правоту относительно того, что каждый новый процесс автоматизации чего-либо потенциально приносит новые уязвимости. Поэтому иногда безопаснее что-то сделать руками, а не полагаться на ПО.

#APT #Lazarus