Severokórejská skupina Lazarus opäť útočila, vyhliadla si ruské ciele

Severokórejská skupina Lazarus opäť útočila, vyhliadla si ruské ciele

Ide o ojedinelý prípad, keď útočníci zo Severnej Kórey útočili na ruské firmy.

Bezpečnostná firma Check Point v posledných týždňoch zaznamenala podozrivú aktivitu namierenú proti ruským spoločnostiam. Podľa všetkého môže ísť o prvý prípad, keď je voči ruským subjektom vedený koordinovaný útok z KĽDR. Útočníci využívajú viacero infikovaných dokumentov Microsoft Office, ktoré sú navrhnuté špeciálne pre ruské obete.

Súbory boli nahrané koncom januára na web VirusTotal z rôznych miest v Rusku. Metadáta v nich ukázali, že autorom všetkých bol „home“ a boli kórejsky kódované. Po otvorení podvrhnuté obrázky vyzývali obeť k povoleniu úprav. Tento krok následne spustil škodlivý kód ukrytý v makrách, ktorý stiahol z Dropboxu VBS skript. Po spustení tohto skriptu sa stiahol vylepšený malvér KEYMARBLE z kompromitovaného serveru v Iraku.

Práve backdoor KEYMARBLE je podľa amerického národného CERT tímu jedným z nástrojov skupiny HIDDEN COBRA, tiež známej pod menom Lazarus Group. Útočníci ho zabalili do archivačného formátu CAB, vďaka čomu ho väčšina antivírusov nebola schopná detegovať.

Na aktivity Lazarusu upozorňovala koncom januára aj juhokórejská bezpečnostná firma ESTsecurity. Počas operácie, ktorú nazvala Extreme Job, bol po juhokórejských webstránkach zdieľaný súbor Job Descriptions.doc, ktorý ponúkal prácu systémového inžiniera v kórejskej pobočke firmy Cisco.

Rovnako ako v prvom prípade, aj v tomto mal dokument zhodné kódovanie a útočníci zneužili makrá, do ktorých vložili zašifrovaný kód na stiahnutie malvéru. Tento neznámy malvér sa následne pokúsil kontaktovať riadiace C2 servery útočníkov, odkiaľ mal stiahnuť ďalší nástroj.

V čase, keď výskumníci z Cisco operáciu analyzovali, už nebolo spojenie so serverom dostupné. Podarilo sa im však nájsť podobnosť s ďalšími kampaňami z roku 2017.

Ako poznamenáva Check Point, medzi bezpečnostnými expertmi sa predpokladá, že skupinu Lazarus tvoria minimálne dva oddiely. Prvý, prezývaný Andariel, sa sústredí na juhokórejskú vládu a organizácie, zatiaľ čo prioritou druhého, Bluenoroff, je celosvetová špionáž a získavanie peňazí.

Napriek tomu, že útoky najčastejšie reagujú na politické strety medzi KĽDR a Západom a ruské ciele sú skôr výnimkou, rozdiely medzi týmito dvoma kampaňami nahrávajú podľa firmy Check Point do kariet teórii o rozdelení skupiny na dve časti.

Viac si o tejto skupine hekerov z KĽDR môžete prečítať v článku Lazarus Group: Hakeri v zahraničnej politike Severnej Kórey.

(VK)