Компанія ESET ― лідер у галузі інформаційної безпеки ―виявила нову активність APT-групи Lazarus, спрямовану на підрядників у галузі оборони з кінця 2021 року до березня 2022 року. Відповідно до даних телеметрії ESET, кіберзлочинці націлювалися на компанії в Європі, зокрема Франції, Італії, Німеччині, Нідерландах, Польщі та Україні, а також Латинській Америці.
Незважаючи на те, що основною метою шкідливої діяльності було кібершпигунство, зловмисники також намагалися викрадати кошти, однак ця активність була безуспішна.
«Група кіберзлочинців Lazarus проявила винахідливість, розгорнувши витончений набір інструментів, зокрема компонент режиму користувача, здатний використовувати уразливий драйвер Dell для запису в пам’ять ядра. Цей метод був використаний у спробі обійти перевірку рішеннями з безпеки», ― розповідає Жан-Ян Бутин, керівник дослідницької лабораторії ESET.
Ще в 2020 році дослідники ESET зафіксували активність підгрупи Lazarus, спрямовану на європейських підрядників в оборонній та аерокосмічній галузі. Тоді кіберзлочинці використовували соціальні мережі, особливо LinkedIn, щоб завоювати довіру працівників, перш ніж надсилати їм шкідливі компоненти, замасковані під посадові інструкції або програми. На той момент цілями атак стали компанії в Бразилії, Чехії, Катарі, Туреччині та Україні.
Спочатку дослідники ESET вважали, що активність здебільшого спрямована на європейські компанії. Однак після відстеження активності низки підгруп Lazarus, націлену на підрядників в оборонній галузі, стало зрозуміло, що їх діяльність набагато ширша. Хоча шкідливе програмне забезпечення відрізнялося, початковий вектор завжди залишався незмінним. Зокрема фальшивий рекрутер зв’язувався зі співробітником через LinkedIn і зрештою надсилав шкідливі компоненти.
Крім цього, дослідники ESET також зафіксували повторне використання елементів справжньої кампанії з найму, щоб додати переконливості їхнім фальшивим пропозиціям. Крім того, у своїй шкідливій активності зловмисники використовували такі сервіси, як WhatsApp або Slack.
У 2021 році Міністерство юстиції США висунуло звинувачення трьом ІТ-програмістам в атаках, оскільки вони працювали на північнокорейські збройні сили. За даними уряду США, вони належали до північнокорейського військового хакерського підрозділу, відомого в спільноті спеціалістів з кібербезпеки як Lazarus Group.
У зв’язку з небезпекою подальших атак на українських користувачів спеціалісти ESET рекомендують дотримуватися основних правил кібербезпеки, зокрема використовувати надійні паролі та двофакторну аутентифікацію, вчасно оновлювати програмне забезпечення та забезпечити багаторівневий захист власних пристроїв від сучасних векторів атак.
У разі виявлення шкідливої діяльності у власних IT-системах українські користувачі продуктів ESET можуть звернутися за допомогою до цілодобової служби технічної підтримки за телефоном +380 44 545 77 26 або електронною адресою support@eset.ua.