Una dintre cele mai mari amenințări cibernetice a devenit și mai periculoasă în 2020

de: Răzvan Băltărețu
10 01. 2020

Specialiști în securitate cibernetică informează că gruparea Lazarus a trecut la un nou nivel. O operațiune descoperită în urmă cu doi ani este încă activă și face numeroase victime în continuare.

În 2018, echipa globală de cercetare și analiză Kaspersky (GReAT) a publicat descoperirile despre AppleJeus. Atunci a fost descoperită ca fiind o operațiune care urmărea furtul de criptomonede. Era opera grupării Lazarus. Descoperiri recentă arată că operațiunea continuă cu pași mai atenți, cu tactici și proceduri îmbunătățite și cu utilizarea Telegram drept unul dintre noii săi vectori de atac.

AppleJeus a afectat mai multe victime din Marea Britanie, Polonia, Rusia și China, dintre care unele au legătură cu entități de business din domeniul criptomonedelor.

Cercetătorii Kaspersky au identificat modificări semnificative ale tacticii de atac a grupului în operațiunea următoare. Vectorul de atac din 2019 l-a copiat pe cel din anul precedent, dar cu unele îmbunătățiri. De această dată, Lazarus a creat site-uri false legate de criptomonede, care găzduiau link-uri către false canale Telegram de companie și livrau malware prin messenger.

La fel ca în operațiunea inițială AppleJeus, atacul a constat în două faze.

Utilizatorii descărcau mai întâi o aplicație iar downloader-ul asociat prelua următorul payload de pe un server de la distanță, permițând în final atacatorului să controleze în totalitate dispozitivul infectat cu un backdoor permanent. De această dată însă, programul a fost livrat cu atenție pentru a se sustrage soluțiilor de detecție bazate pe comportament.

În atacurile împotriva țintelor care utilizau macOS, a fost adăugat un mecanism de autentificare pentru downloader și a fost modificată structura de dezvoltare, fiind adoptată de această dată o tehnică de infectare fără fișiere.

Când au vizat utilizatorii de Windows, atacatorii au evitat malware-ul Fallchill (care a fost folosit în prima operațiune AppleJeus) și au creat un malware care a rulat doar pe anumite sisteme, după ce le-au verificat pe baza unui set de valori date. Aceste schimbări arată că grupul a devenit mai atent în atacurile sale, folosind noi metode pentru a evita să fie detectat.

Cine e gruparea Lazarus?

Lazarus este unul dintre cei mai activi și prolifici atacatori APT (Amenințare persistentă și avansată), desfășurând o serie de campanii ce vizează organizații din domeniul criptomonedelor.

În timpul operațiunii inițiale AppleJeus din 2018, atacatorul a creat o companie falsă de criptomonede pentru a-și livra aplicația și a beneficia de un capital ridicat de încredere în rândul potențialelor victime. Această operațiune a marcat construirea de către Lazarus a primului program malware pentru macOS. Aplicația a fost descărcată de utilizatori de pe site-uri terțe, iar programul periculos a fost livrat deghizat într-un update de rutină al aplicației. Acesta a permis atacatorului să obțină control complet asupra dispozitivului utilizatorului și să fure criptomonede.

Lazarus e cunoscut și pentru operațiunile sale complexe și legăturile cu Coreea de Nord. Se remarcă nu numai prin atacurile sale de spionaj și sabotaj cibernetic, ci și prin cele motivate financiar. O serie de cercetători, inclusiv cei de la Kaspersky, au raportat anterior despre vizarea băncilor și a altor companii financiare de către grup.

În cazul acestui atac AppleJeus, Lazarus a făcut, de asemenea, modificări semnificative în malware-ul pentru macOS și a extins numărul de versiuni. Spre deosebire de atacul anterior, în timpul căruia Lazarus a folosit QtBitcoinTrader pentru a construi un installer de macOS, în timpul celei de-a doua operațiuni AppleJeus atacatorul a început să folosească codul lor dezvoltat intern, pentru a construi un installer infectat.

Aceste evoluții arată că atacatorul va continua să creeze versiuni ale malware-ului macOS și cea mai recentă detecție a noastră a fost un rezultat intermediar al acestor modificări.