Цифровые злоумышленники, предположительно связанные с Северной Кореей, как минимум с декабря заражают американские секторы образования и здравоохранения ранее не встречавшимся бэкдором, по данным исследователей безопасности.
“Мы обнаружили, что злоумышленник заразил несколько образовательных учреждений, включая университет, связанный с рядом других учреждений, что указывает на потенциально более широкую поверхность атаки”, — сообщил The Register исследователь Cisco Talos Четан Рагхупрасад. “Кроме того, одна из пострадавших организаций — это учреждение здравоохранения, в частности, дом престарелых”.
“Судя по характеру жертв в ходе текущих вторжений, мотивом злоумышленника, вероятно, является получение финансовой выгоды”, — добавил Рагхупрасад.
Talos обнаружила продолжающуюся кампанию, которую связывают с группой, отслеживаемой как UAT-10027, и заявляет с “низкой степенью уверенности”, что это северокорейская группировка на основании сходства с Lazarus Group и другими бандами, поддерживаемыми Пхеньяном.
Предполагается, что злоумышленники получают первоначальный доступ посредством социальной инженерии и фишинга, и многоступенчатое заражение в конечном итоге доставляет новый бэкдор Dohdoor, который имеет схожие технические характеристики с вредоносным ПО Lazarloader группы Lazarus, Lazarloader.
Получив доступ — потенциально через фишинговое письмо — злоумышленники запускают загрузчик PowerShell, который выполняет дроппер пакетного скрипта Windows с удаленного промежуточного сервера. Затем пакетный скрипт организует технику подгрузки (sideloading) динамически подключаемой библиотеки (DLL) для выполнения вредоносной DLL Windows с именем “propsys.dll” или “batmeter.dll”.
Совершенно новый Dohdoor
DLL, которую Talos называет “Dohdoor”, функционирует как загрузчик и загружает, расшифровывает и выполняет вредоносные полезные нагрузки внутри легитимных процессов Windows. Это дает злоумышленникам доступ через бэкдор к среде жертвы, чтобы она могла загрузить следующую полезную нагрузку — Cobalt Strike Beacon — в память машины.
UAT-10027 использует ряд скрытных техник, чтобы избежать обнаружения, включая настройку доменов командно-контрольных центров (C2) с использованием инфраструктуры Cloudflare и применение техники DNS-over-HTTPS для разрешения IP-адреса C2-сервера. Это помогает злоумышленникам обойти инструменты безопасности DNS, гарантируя, что весь исходящий трафик с скомпрометированных машин выглядит как легитимный HTTPS-трафик на доверенный IP-адрес.
Dohoor также использует технику подмены процессов (process hollowing) для внедрения полезной нагрузки в легитимный бинарный файл Windows, что позволяет вредоносному ПО работать незамеченным.
Кроме того, Talos зафиксировала использование новым бэкдором техники обхода средств обнаружения и реагирования на конечных точках (EDR) для обхода инструментов безопасности конечных точек, которые отслеживают вызовы API Windows. Бэкдор делает это путем отмены хуков системных вызовов через пользовательские хуки в ntdll.dll.
“Техника отмены хуков NTDLL, используемая для обхода мониторинга EDR путем идентификации и восстановления заглушек системных вызовов, соответствует функциям, обнаруженным в более ранних вариантах Lazarloader”, — заявили исследователи Talos Алекс Каркинс и Четан Рагхупрасад в отчете, опубликованном в четверг.
Они также отметили, что использование DNS-over-HTTPS (DoH) через службу DNS Cloudflare, техника подмены процессов и подгрузка вредоносных DLL под замаскированным именем файла “propsys.dll” ранее применялись в кампаниях Lazarus.
“Хотя вредоносное ПО UAT-10027 имеет технические пересечения с Lazarus Group, фокус кампании на секторах образования и здравоохранения отличается от типичного профиля Lazarus, который нацелен на криптовалюты и оборону”, — заявила эта пара.
Это утверждение может быть несколько устаревшим: охотники за угрозами из Symantec и Carbon Black предупреждали на этой неделе, что Lazarus начала использовать вымогательское ПО Medusa в атаках с целью вымогательства, нацеленных как минимум на одну американскую медицинскую организацию.
Одна из самых плодовитых подгрупп Lazarus, Andariel, которая выступает в качестве киберподразделения разведывательного управления Северной Кореи, ранее использовала вымогательское ПО Maui и Play в своих вторжениях — в том числе нацеленных на сектор здравоохранения. Кроме того, Kimsuky, еще одна разведывательная команда Пхеньяна, поразила сектор образования в своих кампаниях. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
