Компанія ESET виявила спроби розгортання шкідливого програмного забезпечення Lazarus за допомогою атаки на ланцюг постачання в Південній Кореї.
Для поширення загрози зловмисники несанкціоновано використовували легітимну програму з безпеки та цифрові сертифікати, викрадені у двох різних компаній. Здійснити атаку відносно нескладно, оскільки Інтернет-користувачам Південної Кореї часто необхідно встановити додаткову програму з безпеки для відвідування державних сайтів або використання Інтернет-банкінгу.
“Варто зазначити, що WIZVERA VeraPort є південнокорейським додатком, який допомагає керувати додатковим програмним забезпеченням з безпеки. Після інсталяції WIZVERA VeraPort користувачі отримують та встановлюють необхідне програмне забезпечення для роботи певного веб-сайту. Для початку роботи з такою програмою потрібні мінімальні дії користувача, — пояснюють дослідники. — Як правило, таке програмне забезпечення використовується урядовими та банківськими сайтами Південної Кореї. Для деяких з них обов’язкова наявність WIZVERA VeraPort”.
Також зловмисники використовували незаконно отримані сертифікати для підпису зразків шкідливого ПЗ. Варто зазначити, що один з цих сертифікатів було видано американській філії південнокорейської охоронної компанії.
“Зловмисники замаскували зразки шкідливого програмного забезпечення Lazarus під легітимні програми. Ці зразки мають такі ж імена файлів, іконки та ресурси, як і легітимне південнокорейське програмне забезпечення, — коментує Пітер Калнаі, дослідник ESET. — Комбінація зламаних веб-сайтів з підтримкою WIZVERA VeraPort та певних параметрів конфігурації VeraPort дозволяють зловмисникам виконати цю атаку”.
У дослідників є декілька вагомих причин, які свідчать про причетність групи кіберзлочинців Lazarus до цієї атаки, зокрема:
- атака є продовженням операції BookCodes, яку деякі дослідники з кібербезпеки пов’язують з Lazarus;
- типові характеристики інструментарію;
- проведення атаки в Південній Кореї, де як відомо працює Lazarus;
- незвичайний та нестандартний характер методів вторгнення та шифрування, які використовувались;
- налаштування мережевої інфраструктури.
Набір інструментів Lazarus досить великий, тому дослідники вважають, що існує ще безліч підгруп. На відміну від інструментів інших груп кіберзлочинців, жоден з вихідних кодів Lazarus ще ніколи не було виявлено в публічному доступі.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
У Zoom нарешті доступне наскрізне шифрування: як увімкнути його на своєму пристрої?
Фішингові листи: розпізнаємо шахрайство на реальному прикладі
Як зупинити отримання SMS на свій смартфон із розсилкою від торгових мереж?
Як виміряти рівень кисню у крові за допомогою Apple Watch? – ІНСТРУКЦІЯ
Як увімкнути нову функцію відстеження миття рук на Apple Watch? – ІНСТРУКЦІЯ
Нагадаємо, компанія Google випустила чергові патчі для Android, загалом усунувши понад 30 уразливостей. Найсерйознішою з нових проблем, згідно з бюлетенем, є можливість віддаленого виконання коду (RCE), виявлена в одному з компонентів системи Android.
Також мешканця міста Хмельницький впіймали на розповсюдженні конфіденційної інформації користувачів мережі Інтернет, серед якої були логіни та паролі доступу до різних інтернет-ресурсів, електронних поштових скриньок, облікових записів соціальних мереж та електронних гаманців
До речі, у WhatsApp з’явилася довгоочікувана функція, що дозволяє автоматично видаляти повідомлення. Тепер користувачі можуть включити “Автовидалення” для особистих чатів, після чого відправлені повідомлення будуть зникати через сім днів. У групових бесідах тільки адміністратори можуть включити або відключити нововведення.
Зверніть увагу, що зловмисники зловживають функціоналом Google Диска і використовують його для розсилки нібито легітимних електронних листів і push-повідомлень від Google, які в разі відкриття можуть перенаправити людей на шкідливі web-сайти.
Окрім цього, нову вимагацьку кампанію, націлену на користувачів сервісу для відеоконференцій Zoom, виявили дослідники Bitdefender Antispam Lab. Мова йде про так зване “інтимне вимагання” (sextortion), яке припало до смаку зловмисникам останнім часом.