Угруповання Lazarus атакувало одного з польських постачальників зброї, розіславши співробітникам фальшиві пропозиції про роботу в компанії Boeing, повідомляють експерти ESET у "Звіті про діяльність APT за 4 квартал 2022 року – 1 квартал 2023 року".
Lazarus – міжнародні кібер-терористи
Відоме кіберзлочинне угруповання Lazarus, основним напрямком діяльності якого є шпигунство, у першому кварталі 2023 року атакувало польського постачальника зброї, повідомляють аналітики ESET. Співробітники компанії отримали фальшиві пропозиції про роботу від імені бренду Boeing. Для атаки використовувалася заражена версія PDF-рідера на базі SumatraPDF, а також шкідливе програмне забезпечення RAT під назвою ScoringMathTea і складний завантажувач, який дослідники назвали ImprudentCook.
Це не перший випадок, коли пов'язаний з Північною Кореєю Lazarus зосереджує свою увагу на європейському секторі, використовуючи схожий механізм атаки. Ще у 2020 році дослідники ESET повідомляли про операції угруповання проти європейських аерокосмічних та оборонних підрядників. Тоді операція під назвою In(ter)ception використовувала соціальні мережі, зокрема LinkedIn. Кіберзлочинці входили в довіру до працівників, які нічого не підозрювали, а потім надсилали їм шкідливі компоненти, що видавали себе за описи вакансій або заявки.
Окрім польського оборонного сектору, Lazarus також нещодавно атакував компанію з управління даними в Індії. Цього разу з цією метою було незаконно використано бренд Accenture, також через електронну атаку. Механізм, в якому кіберзлочинці незаконно використовують відомі бренди, також повторюється; наприклад, подібні дії мали місце наприкінці 2022 року, коли були використані, серед іншого, такі компанії, як IBM та Airbus.
"Групи APT є одними з найнебезпечніших кіберзлочинних організацій. Їхні мотиви часто є шпигунськими або деструктивними, рідше – грошовими. Вони мають у своєму розпорядженні значні технологічні та фінансові ресурси. Плануючи свої цілеспрямовані дії, вони дуже уважно стежать за геополітичною ситуацією. Вони постійно тестують нові дії або вдосконалюють свої перевірені методи роботи", – говорить Каміль Садковський, старший спеціаліст з кібербезпеки в ESET.
Кіберзлочинці переважно наносять удари там, де є конфлікти або напружена міжнародна ситуація, постійно випробовуючи нові методи атак, йдеться у "Звіті про активність APT за Q4 2022-Q1 2023 рр.". Дані, зібрані ESET, показують, серед іншого, що протягом цього часу пов'язані з Росією групи APT були особливо активні в Україні та країнах ЄС.
Найнебезпечніші хакери з тоталітарних країн
Пов'язане з Іраном угруповання OilRig здійснило атаку в Ізраїлі, використовуючи новий тип троянського коня. З іншого боку, пов'язані з Китаєм кіберзлочинці з груп Ke3chang і Mustang Panda зосередилися на атаках на європейські компанії.
Групи з Північної Кореї, з іншого боку, в основному атакували південнокорейські компанії. "Дані показують, що в період з жовтня 2022 року по березень 2023 року організовані кіберзлочинні групи атакували такі країни, як Україна, Японія, Південна Корея, Тайвань, Великобританія, США, Польща та інші країни ЄС. Від передових дій постраждали, зокрема, урядові організації, місцеві органи влади, дипломати, засоби масової інформації, компанії у сфері озброєнь, енергетики, освіти, фінансів, охорони здоров'я та управління даними. Дані телеметрії ESET показують, що кіберзлочинці здійснювали, серед іншого, просунуті дії, спрямовані на приватних осіб (так звані spearphishing-атаки), яким передував етап підступного входження в довіру", – коментує Каміль Садковський.
Пов'язані з Росією групи APT були особливо активними в Україні та країнах ЄС у звітному періоді. Для досягнення своїх цілей вони переважно використовували сучасне шкідливе програмне забезпечення, фішингову розсилку електронної пошти та інструменти типу Brute Ratel (застосовуються в тестах на безпеку, так званих пентестах). Група під назвою Sandworm в основному атакувала український уряд, засоби масової інформації та енергетичний сектор. Вона розгортала програмне забезпечення для знищення даних (використовується для зловмисного видалення даних), в тому числі його новий різновид під назвою SwiftSlicer. Угруповання "Гамаредон", "Седнит" і "Дюк", з іншого боку, зосередилися на фішингових атаках і розсилці фальшивих електронних листів. Наприклад, Gamaredon провела кампанію зловмисного спам-фішингу (витончений фішинг з метою виманювання даних або інформації, спрямований на конкретних осіб), атакувавши в цей період урядові установи в кількох країнах Євросоюзу. Тим часом група Winter Vivern, що діє в Європі, використовувала для своїх атак поштову платформу Zimbra.
Якими методами користуються азійські кіберзлочинці?
Дані ESET також показують, що кіберзлочинні групи азійського походження інтенсивно розвивають свої методи атак. Пов'язана з Китаєм група Ke3chang зосередилася на використанні нового варіанту трояна Ketrican, в той час як група Mustang Panda використовувала два нових троянських коня (які відкривають "чорні ходи" в атакованих системах). MirrorFace атакувала в Японії, розробляючи нові методи зараження шкідливим програмним забезпеченням, а ChattyGoblin скомпрометувала гральну компанію на Філіппінах, атакувавши її співробітників служби підтримки. Пов'язані з Індією групи SideWinder і DonotTeam продовжували атакувати урядові установи в Південній Азії. Перша з них зосередилася на атаках на освітній сектор в Китаї, а друга продовжувала розробляти шкідливе програмне забезпечення під назвою yty і використовувала троян Remcos RAT. У Південній Азії дослідницька група ESET також виявила велику кількість фішингових атак, пов'язаних з веб-поштою Zimbra. На противагу цьому, спостерігалося значне зниження активності групи SturgeonPhisher, яка зазвичай атакує електронною поштою державних службовців у Центральній Азії. Цілком ймовірно, що група зараз перебуває в процесі зміни своєї тактики та інструментів.
Більше інформації про ці дані можна знайти в повному звіті ESET APT Activity Report.
