Нова атака на севернокорейската хакерска групировка Lazarus засяга всички популярни операционни системи
Специалисти от 360 Advanced Threat Research Institute откриха нова акция на севернокорейската група Lazarus, която популяризира зловредни PyPI пакети.
Lazarus продължава да е дейна, като се насочва към разнообразни промишлености. Този път хакерите са се насочили освен към финансови институции и тържища за криптовалути, само че и към държавни организации, авиокосмическата промишленост и военни структури по целия свят. Основната цел на офанзивите е приемане на финансова полза и кражба на поверителна информация.
За офанзивата: Зловредните пакети се зареждат в PyPI под прикритието на законни библиотеки. Пакетите не са подозрителни за разработчиците, които могат инцидентно да ги конфигурират в своите планове. Заразените пакети са предопределени за разнообразни операционни системи и се употребяват за осъществяване на многопластови офанзиви.
Механизъм на работа на новата офанзива Използвайки един от пакетите като образец, можете да видите по какъв начин тъкмо работи зловредният механизъм.
Когато пакетът се конфигурира при избрани условия, се извършва файлът init.py, който декодира зловредния код и го съхранява като DLL файл. След това DLL кодът се започва благодарение на командата rundll32, което разрешава на атакуващите да извършват злонамерени команди.
За Windows зловредният пакет съдържа криптиран потребен товар, който последователно се декриптира и зарежда в паметта, без да оставя следи на диска. За Linux зловредният пакет зарежда ELF файл с цялостна функционалност за дистанционно управление. При macOS зловредният програмен продукт има сходства с разновидността за Linux. Това допуска, че процесът на офанзива е подобен.
Според разбора един от откритите файлове (config.py) съдържа злотворен код, който се употребява за по-нататъшно разпространяване на офанзивите. Config.py изтегля и декриптира нови DLL файлове, като ги слага в систематичните директории, в това число OneDrive. След това файловете се извършват посредством планиращия дилемите, настройките на регистъра или директориите за автоматизирано зареждане.
Компонентите на офанзивата включват криптиране на данни и потребление на специфични ключове за декриптирането им. Например файлът credential.sys се декриптира два пъти, преди да се изтегли и извърши нов DLL „ Comebacker “, който по-късно изтегля и извършва идващия стадий на зловредния код.
За Linux зловредните пакети употребяват сходен способ на разпространяване. Когато се конфигурира пакет, той извършва код, който изтегля злотворен програмен продукт от далечен сървър. За macOS злонамерените файлове също употребяват сходни способи и имат сходни функционалности с версиите за Linux.
Атаките показват високото равнище на подготовка и организация, присъщи за Lazarus. Използването на комплицирани техники за криптиране и многопластови офанзиви, както и опцията за атакуване на няколко операционни системи по едно и също време, трансформира групата в една от най-опасните досега. Организациите и обособените лица би трябвало да бъдат изключително бдителни и да подхващат ограничения за отбрана на системите си от сходни закани.
