Կասպերսկի. Lazarus-ն աշխարհով մեկ գրոհում է կազմակերպությունները՝ օգտագործելով լեգիտիմ ԾԱ
«Կասպերսկի» ընկերությունը բացահայտել է Lazarus հանցավոր կիբեռխմբի՝ լեգիտիմ ԾԱ-ի կիրառմամբ նոր արշավ, որը թիրախավորում է կազմակերպություններն աշխարհով մեկ:
Ընկերությունը հայտնում է, որ վարակելու համար օգտագործվում է լեգիտիմ ԾԱ, որը նախատեսված է թվային հավաստագրերի միջոցով վեբ հաղորդակցությունը ծածկագրելու համար:
Ավելի վաղ փորձագետներն արդեն նախազգուշացրել էին խոցելիությունների մասին, որոնք Lazarus խմբին թույլ էին տալիս գրոհներ իրականացնել: Սակայն շատ կազմակերպություններ շարունակել են օգտագործել ԾԱ-ի հին տարբերակը, որում դրանք չեն շտկվել:
Գրոհի համար չարագործները կիրառել են բարդ մեթոդներ, մասնավորապես, պաշտպանական միջոցները շրջանցելու առաջ անցած տեխնիկաներ։ Զոհերի սարքերը վերահսկելու համար նրանք օգտագործել են SIGNBT վնասաբեր ծրագիրը։
Գրոհողները նաև շահագործել են արդեն հայտնի LPEClient գործիքը, նախկինում այն կիրառվել էր պաշտպանական ձեռնարկությունների կապալառուների, միջուկային ոլորտի ինժեներների և կրիպտոարժույթի ոլորտի թիրախային գրոհներում: LPEClient-ը վարակելու գործընթացի առաջին փուլն է: Այն առանցքային դեր է խաղում զոհի պրոֆիլի որոշման և համակարգում այլ վնասաբեր ծրագրերի տեղադրման գործում։ Այն, թե ինչպես է օգտագործվել LPEClient գործիքը այս և այլ գրոհներում, մատնանշում է Lazarus խմբի մեթոդները, կարծում են «Կասպերսկի»-ի փորձագետները: Նույն կերպ չարագործները գործել են նաև ЗСХ ընկերության մատակարարման շղթայի վրա գրոհի ժամանակ։
Ինչպես ցույց է տվել հետագա վերլուծությունը, Lazarus-ի վնասաբեր ԾԱ-ն արդեն մի քանի անգամ օգտագործվել է սկզբնական զոհի՝ ծրագրային ապահովման մատակարարին գրոհելու համար: Նման կրկնվող գրոհները ցույց են տալիս, որ չարագործները հստակ նպատակ ունեն, հավանաբար, ձեռք գցելու կրիտիկական կարևոր սկզբնական կոդը կամ խաթարելու ԾԱ-ի մատակարարման շղթան: Գրոհողները մշտապես շահագործել են ընկերությունների ծրագրային ապահովման խոցելիությունները և ընդլայնել թիրախների շրջանակը՝ նշանի տակ դնելով ԾԱ-ի չշտկված տարբերակն օգտագործող կազմակերպությունները։ Kaspersky Security բիզնեսի համար լուծումը պրոակտիվ բացահայտել է սպառնալիքը և կանխել այլ կազմակերպությունների վրա գրոհները:
«Lazarus-ի շարունակվող գրոհները վկայում են այն մասին, որ չարագործներն ունեն լուրջ տեխնիկական հնարավորություններ և ուժեղ մոտիվացիա։ Նրանք գործում են աշխարհով մեկ՝ թիրախավորելով արդյունաբերական ոլորտի տարբեր կազմակերպություններ, և դրա համար օգտագործում են տարբեր մեթոդներ: Սպառնալիքը պահպանվում է և անընդհատ զարգանում, ինչը պահանջում է հատուկ զգոնություն»,- մեկնաբանում է «Կասպերսկի» ընկերության կիբեռանվտանգության փորձագետ Սոնգսու Պարկը (Seongsu Park):
Lazarus-ի նոր արշավի մասին ավելին կարելի է իմանալ https://securelist.com/unveiling-lazarus-new-campaign/110888/ հղմամբ։