- Регистрация
- 8 Апр 2019
- Сообщения
- 72
- Баллы
- 0
- Общие продажи
- 0$
- Общие покупки
- 0$
APT-группировка Lazarus взяла на вооружение ранее неизвестный троян HOPLIGHT, способный доставлять на целевое устройство вредоносные модули, изменять реестр и делать инъекции в уже запущенные процессы.
К такому выводу пришли эксперты Департамента внутренней безопасности США и специалисты ФБР, опубликовавшие детальный отчет о зловреде. Они утверждают, что программа использует многоуровневую обфускацию канала передачи данных, чтобы скрыть командные серверы и затруднить обнаружение атаки антивирусными сканерами.
HOPLIGHT состоит из девяти исполняемых файлов, из них семь — прокси-приложения для маскировки трафика между инфицированным компьютером и центром управления. ИБ-специалисты выяснили, что троян использует легитимный SSL-сертификат южнокорейского поисковика Naver для генерации фальшивых TSL-рукопожатий и сокрытия канала передачи данных с жестко заданными IP-адресами хостов.
Вредоносные компоненты могут:
- Подключаться к удаленному серверу.
- Скачивать файлы с целевой машины и доставлять на нее полезную нагрузку.
- Вести подсчет системных дисков.
- Создавать и завершать процессы.
- Вносить изменения в системный реестр.
- Перемещать, читать и изменять файлы.
- Внедрять код в активные процессы.
- Запускать и останавливать службы в рамках ОС.
В феврале группировку Lazarus, которую некоторые эксперты связывают с Северной Кореей, заметили в атаках на российские компании. Как выяснили ИБ-специалисты, злоумышленники проникали на целевые системы через зараженные документы Word или Excel. Запуск макросов инициировал установку бэкдора KEYMARBLE, предназначенного для кражи данных.