Группировка Lazarus атаковала одного из польских поставщиков оружия, разослав сотрудникам фальшивые предложения о работе в компании Boeing, сообщают эксперты ESET в "Отчете о деятельности APT за 4 квартал 2022 года – 1 квартал 2023 года".
Lazarus – международные кибер-террористы
Известная киберпреступная группировка Lazarus, основным направлением деятельности которой является шпионаж, в первом квартале 2023 года атаковала польского поставщика оружия, сообщают аналитики ESET. Сотрудники компании получили фальшивые предложения о работе от имени бренда Boeing. Для атаки использовалась зараженная версия PDF-ридера на базе SumatraPDF, а также вредоносное программное обеспечение RAT под названием ScoringMathTea и сложный загрузчик, который исследователи назвали ImprudentCook.
Это не первый случай, когда связанный с Северной Кореей Lazarus сосредотачивает свое внимание на европейском секторе, используя похожий механизм атаки. Еще в 2020 году исследователи ESET сообщали об операциях группировки против европейских аэрокосмических и оборонных подрядчиков. Тогда операция под названием In(ter)ception использовала социальные сети, в частности LinkedIn. Киберпреступники входили в доверие к работникам, которые ничего не подозревали, а затем присылали им вредоносные компоненты, выдававшие себя за описания вакансий или заявки.
Кроме польского оборонного сектора, Lazarus также недавно атаковал компанию по управлению данными в Индии. На этот раз с этой целью был незаконно использован бренд Accenture, также через электронную атаку. Механизм, в котором киберпреступники незаконно используют известные бренды, также повторяется; например, подобные действия имели место в конце 2022 года, когда были использованы, среди прочего, такие компании, как IBM и Airbus.
"Группы APT являются одними из самых опасных киберпреступных организаций. Их мотивы часто являются шпионскими или деструктивными, реже – денежными. Они располагают значительными технологическими и финансовыми ресурсами. Планируя свои целенаправленные действия, они очень внимательно следят за геополитической ситуацией. Они постоянно тестируют новые действия или совершенствуют свои проверенные методы работы", – говорит Камиль Садковский, старший специалист по кибербезопасности в ESET.
Киберпреступники преимущественно наносят удары там, где есть конфликты или напряженная международная ситуация, постоянно испытывая новые методы атак, говорится в "Отчете об активности APT за Q4 2022-Q1 2023 гг. Данные, собранные ESET, показывают, среди прочего, что в течение этого времени связанные с Россией группы APT были особенно активны в Украине и странах ЕС.
Самые опасные хакеры из тоталитарных стран
Связанная с Ираном группировка OilRig осуществила атаку в Израиле, используя новый тип троянского коня. С другой стороны, связанные с Китаем киберпреступники из групп Ke3chang и Mustang Panda сосредоточились на атаках на европейские компании.
Группы из Северной Кореи, с другой стороны, в основном атаковали южнокорейские компании. "Данные показывают, что в период с октября 2022 года по март 2023 года организованные киберпреступные группы атаковали такие страны, как Украина, Япония, Южная Корея, Тайвань, Великобритания, США, Польша и другие страны ЕС. От передовых действий пострадали, в частности, правительственные организации, местные органы власти, дипломаты, средства массовой информации, компании в сфере вооружений, энергетики, образования, финансов, здравоохранения и управления данными. Данные телеметрии ESET показывают, что киберпреступники осуществляли, среди прочего, продвинутые действия, направленные на частных лиц (так называемые spearphishing-атаки), которым предшествовал этап коварного вхождения в доверие", – комментирует Камиль Садковский.
Связанные с Россией группы APT были особенно активными в Украине и странах ЕС в отчетном периоде. Для достижения своих целей они преимущественно использовали современное вредоносное программное обеспечение, фишинговую рассылку электронной почты и инструменты типа Brute Ratel (применяются в тестах на безопасность, так называемых пентестах). Группа под названием Sandworm в основном атаковала украинское правительство, средства массовой информации и энергетический сектор. Она развертывала программное обеспечение для уничтожения данных (используется для злонамеренного удаления данных), в том числе его новую разновидность под названием SwiftSlicer. Группировки "Гамаредон", "Седнит" и "Дюк", с другой стороны, сосредоточились на фишинговых атаках и рассылке фальшивых электронных писем. Например, Gamaredon провела кампанию злонамеренного спам-фишинга (изощренный фишинг с целью выманивания данных или информации, направленный на конкретных лиц), атаковав в этот период правительственные учреждения в нескольких странах Евросоюза. Тем временем группа Winter Vivern, действующая в Европе, использовала для своих атак почтовую платформу Zimbra.
Какими методами пользуются азиатские киберпреступники?
Данные ESET также показывают, что киберпреступные группы азиатского происхождения интенсивно развивают свои методы атак. Связанная с Китаем группа Ke3chang сосредоточилась на использовании нового варианта трояна Ketrican, в то время как группа Mustang Panda использовала два новых троянских коня (которые открывают "черные ходы" в атакуемых системах). MirrorFace атаковала в Японии, разрабатывая новые методы заражения вредоносным программным обеспечением, а ChattyGoblin скомпрометировала игорную компанию на Филиппинах, атаковав ее сотрудников службы поддержки. Связанные с Индией группы SideWinder и DonotTeam продолжали атаковать правительственные учреждения в Южной Азии.
Первая из них сосредоточилась на атаках на образовательный сектор в Китае, а вторая продолжала разрабатывать вредоносное программное обеспечение под названием yty и использовала троян Remcos RAT. В Южной Азии исследовательская группа ESET также обнаружила большое количество фишинговых атак, связанных с веб-почтой Zimbra. В противоположность этому, наблюдалось значительное снижение активности группы SturgeonPhisher, которая обычно атакует по электронной почте государственных служащих в Центральной Азии. Вполне вероятно, что группа сейчас находится в процессе изменения своей тактики и инструментов.
Больше информации об этих данных можно найти в полном отчете ESET APT Activity Report.
