LAZARUS АТАКУЕТ ОБОРОННЫЕ ПРЕДПРИЯТИЯ
В середине 2020 года эксперты Нашего Партнера — Kaspersky Lab обнаружили новую вредоносную кампанию APT -группы Lazarus. Стоит отметить, что Lazarus нацелены в основном на оборонные предприятия, в которых они используют вредоносное ПО ThreatNeedle, относящееся к кластеру Manuscrypt.
На текущий момент группировке удалось преодолеть сегментацию сети и получить доступ к конфиденциальной информации. Среди жертв атак были предприятия из России. Также были зарегистрированы обращения к инфраструктуре злоумышленников из Европы, Северной Америки, Ближнего Востока и Азии, что может говорить о возможных жертвах и в этих регионах.
Начальное заражение происходило путём целевого фишинга: злоумышленники направляли письма с вредоносными документами Microsoft Word или ссылками на такие документы, размещённые на удаленном сервере. Злоумышленники сделали ставку на актуальную тему — профилактику и диагностику коронавирусной инфекции. Письма были написаны якобы от имени сотрудника медицинского центра, входящего в состав атакованной организации. Далее эксплоит переходил к многоэтапной процедуре развёртывания. После установки ThreatNeedle злоумышленники получали практически полный контроль над устройством.
Стоит отметить способ прохождение сегментации сети группировкой Lazarus. Он заключался в следующем, сеть атакованного предприятия была разделена на два сегмента: корпоративный и изолированный. При этом, согласно политикам безопасности, любая передача информации между этими сегментами запрещена. Однако администраторы имели возможность подключения к обоим сегментам для настройки и оказания технической поддержки пользователям в обеих зонах, что позволила Lazarus во время атаки обойти систему сегментации сети.
Любая система нуждается в непрерывном усовершенствовании, чтобы всегда оставаться на шаг впереди мошенников. Мы предлагаем Нашим Клиентам стресс-тестирование посредством нашего собственного распределённого кластера. В результате тестирование Клиенты получают не только полный список узких мест системы, но и рекомендации по ее обновлению.