- 27,921
- 46
- 8 Ноя 2022
Взломщики делают ставку на тишину, а не на грубую силу.
Чем незаметнее вредоносное программное обеспечение, тем дольше оно способно оставаться в системе — именно этим принципом руководствуется связанная с Северной Кореей группировка Lazarus в новой кампании против банков и криптовалютных платформ.
Специалисты компании Cognyte зафиксировали атаки с применением трёхкомпонентного инструментария: DPAPILoader, RemotePELoader и RemotePE. Его принципиальная особенность — вредоносный код не записывается на диск, а работает исключительно в оперативной памяти. Это существенно затрудняет обнаружение и расследование после заражения.
Схема атаки выстроена поэтапно. Первый компонент расшифровывает и запускает следующий, используя встроенный механизм защиты данных Windows (DPAPI). Второй загружает финальную нагрузку напрямую с серверов злоумышленников. Третий — троян удалённого доступа — запускается целиком в памяти и передаёт атакующим контроль над системой: выполнение команд, управление файлами, кражу данных.
Отдельного внимания заслуживает приём «привязки к среде». Вредоносный код шифруется под конкретную машину жертвы через тот же DPAPI — запустить его на другом устройстве невозможно. Каждое заражение оказывается уникальным, что фактически обнуляет эффективность стандартного обнаружения по файловым сигнатурам.
Lazarus исторически специализируется на финансово мотивированных атаках, в том числе на кражах криптовалюты . Новая кампания показывает, что помимо технической сложности группировка всё активнее делает ставку на скрытность и длительное присутствие в сети жертвы — подход, прежде характерный преимущественно для государственных разведывательных структур.
Для снижения рисков аналитики рекомендуют ограничить административные привилегии, развернуть поведенческое обнаружение угроз в памяти, усилить сбор телеметрии с конечных точек, а также отслеживать подозрительное использование функций DPAPI и нестандартную исходящую сетевую активность.
Чем незаметнее вредоносное программное обеспечение, тем дольше оно способно оставаться в системе — именно этим принципом руководствуется связанная с Северной Кореей группировка Lazarus в новой кампании против банков и криптовалютных платформ.
Специалисты компании Cognyte зафиксировали атаки с применением трёхкомпонентного инструментария: DPAPILoader, RemotePELoader и RemotePE. Его принципиальная особенность — вредоносный код не записывается на диск, а работает исключительно в оперативной памяти. Это существенно затрудняет обнаружение и расследование после заражения.
Схема атаки выстроена поэтапно. Первый компонент расшифровывает и запускает следующий, используя встроенный механизм защиты данных Windows (DPAPI). Второй загружает финальную нагрузку напрямую с серверов злоумышленников. Третий — троян удалённого доступа — запускается целиком в памяти и передаёт атакующим контроль над системой: выполнение команд, управление файлами, кражу данных.
Отдельного внимания заслуживает приём «привязки к среде». Вредоносный код шифруется под конкретную машину жертвы через тот же DPAPI — запустить его на другом устройстве невозможно. Каждое заражение оказывается уникальным, что фактически обнуляет эффективность стандартного обнаружения по файловым сигнатурам.
Lazarus исторически специализируется на финансово мотивированных атаках, в том числе на кражах криптовалюты . Новая кампания показывает, что помимо технической сложности группировка всё активнее делает ставку на скрытность и длительное присутствие в сети жертвы — подход, прежде характерный преимущественно для государственных разведывательных структур.
Для снижения рисков аналитики рекомендуют ограничить административные привилегии, развернуть поведенческое обнаружение угроз в памяти, усилить сбор телеметрии с конечных точек, а также отслеживать подозрительное использование функций DPAPI и нестандартную исходящую сетевую активность.
- Источник новости
- www.securitylab.ru
