Сигурност

ESET разкри нова серия от атаки на Lazarus Group

Александър Главчев

GrЕксперти от компанията за ИТ сигурност ESET откриха поредица от атаки, зад които стои една от най-известните севернокорейски хакерски групи Lazarus. Нейни жертви са потребители на правителствени и банкови уебсайтове в Южна Корея. Киберпрестъпниците са използвали необичаен механизъм за доставяне на зловрендия софтуер, маскирайки го като откраднат софтуер за сигурност и цифрови сертификати.

Разпространението на вируса Lazarus се улеснява от факта, че южнокорейските интернет потребители често се приканват да инсталират допълнителни програми за сигурност, когато посещават правителствени сайтове или уебсайтове за интернет банкиране, обяснява ръководителят на разследването Антон Черепанов.

"В Южна Корея е разпространена за управление на софтуер за сигурност WIZVERA VeraPort. След инсталацията потребителите могат да изтеглят софтуера, необходим за стартиране на определен уебсайт. Обикновено тази схема се използва от правителствени и банкови сайтове в Южна Корея. За някои от тези сайтове се изисква WIZVERA VeraPort ", обяснява Черепанов.

Атакуващите са използвали незаконно получени цифрови сертификати, за да инжектират зловреден. И един от тези сертификати е издаден на фирма, специализирана в сигурността - американския филиал на южнокорейска компания за сигурност.

"Хакерите са прикрили зловредния софтуер на Lazarus като легитимни програми. Те имат същите имена на файлове, икони и ресурси като легитимния южнокорейски софтуер", каза Питър Калнай, който също участва в разследването.

Анализът на ESET за пореден път демонстрира нестандартния характер на методите за проникване, криптиране и конфигуриране на мрежова инфраструктура, който вече се е превърнал във "визитна картичка" на хакерите от Lazarus.





© Ай Си Ти Медиа ЕООД 1997-2020 съгласно Общи условия за ползване

X