Лазарус атом өнеркәсібіне жаңа зиянды БЖ шабуыл жасайды

Kaspersky GReAT сарапшылары Lazarus — Operation DreamJob негізгі кибер тобының жаңа толқынын тапты. Зиянкестер компаниялардың инфрақұрылымын файлдық мұрағаттар арқылы жұқтырады, олар АТ позициясына үміткерлердің дағдыларын бағалауға арналған тесттер түрінде таратылады. Кибергруппаның жаңа мақсаттарының бірі — атом өнеркәсібі кәсіпорындары.

Operation DreamJob науқанын Kaspersky GReAT сарапшылары 2019 жылы ашты. Содан кейін ол бүкіл әлемдегі криптовалюталармен байланысты компанияларға бағытталды. 2024 жылы мақсаттар қатарында Еуропада, Латын Америкасында, Оңтүстік Кореяда және Африкада АТ компаниялары мен қорғаныс саласының кәсіпорындары пайда болды.

Жаңа құрбандар. Шабуылдардың соңғы тіркелген толқыны Бразилиядағы атом өнеркәсібінің қызметкерлеріне бағытталған. Олар АТ позициясына үміткерлердің дағдыларын бағалауға арналған тесттер түрінде файл мұрағаттарын алды. Шабуылдаушылар бастапқы нұсқауларды тарату және мақсатты жүйелерге кіру үшін танымал жұмыс іздеу платформасын пайдаланған сияқты.

Lazarus зиянды БЖ жеткізу әдістерін жүктеушілер мен артқы есіктер сияқты зиянды бағдарламалардың әртүрлі түрлерін қамтитын күрделі инфекция тізбегін қолдана отырып дамытады.

Жаңа көп сатылы шабуылға трояндық VNC бағдарламасы, Windows үшін қашықтағы жұмыс үстелін қарау құралы және зиянды БЖ жеткізуге арналған заңды VNC құралы кірді. Бірінші кезеңде AmazonVNC.exe троян VNC орындалатын файлының ішкі ресурстарын алу үшін Ranid Downloader деп аталатын жүктеушіні шешіп, іске қосты. Екінші мұрағатта vnclang.dll зиянды файлы болды,MISTPEN зиянды бағдарламасын жүктеген, содан кейін басқа зиянды бағдарламаларды, соның ішінде RollMid және жаңа LPEClient опциясын жүктеді.

Жаңа зиянды БЖ. Шабуылдаушылар бұрын белгісіз артқы есікті пайдаланды, оны Kaspersky GReAT сарапшылары CookiePlus деп атады. Ол Notepad++ ашық мәтіндік редакторы үшін заңды плагин ретінде таратылды. CookiePlus Компьютер атауы, процесс идентификаторы, файл жолдары сияқты жүйе деректерін жинайды және негізгі модульді біраз уақыт ұйықтауға мәжбүр етеді. Ол сондай-ақ конфигурация файлын өзгерту арқылы шабуылдаушыларға қажетті әрекеттерді орындау кестесін реттейді.

«Бұл кибер тыңшылық науқаны өте қауіпті. Зиянды БЖ өз әрекеттерін кейінге қалдыру қабілеті оған жүйеге ену кезінде анықтаудан аулақ болуға және ұзақ уақыт болуға мүмкіндік береді. Сонымен қатар, зиянды жүйелік процестерді басқара алады, бұл оны анықтауды қиындатады және жүйенің одан әрі зақымдалуына немесе зиянды жұмысына әкелуі мүмкін», — деп түсіндіреді Kaspersky GReAT жетекші сарапшысы Василий Бердников.

Kaspersky GReAT туралы

Kaspersky GReAT жаһандық қауіп-қатерді зерттеу және талдау орталығы 2008 жылы құрылған. Оның міндеттеріне ең күрделі шабуылдарды, кибер тыңшылық науқандарын, инфекцияның жаңа әдістерін, нөлдік күндік осалдықтарды пайдаланатын эксплуатацияларды іздеу және зерттеу кіреді. Бүгінде Орталық командасында бүкіл әлем бойынша — Еуропада, Ресейде, Солтүстік және Оңтүстік Америкада, Азияда, Таяу Шығыста жұмыс істейтін 40-тан астам сарапшы бар. Олар ең күрделі шабуылдарды, соның ішінде кибер тыңшылық пен кибербопсалау науқандарды тергеудегі жетістіктерімен танымал.