В 2024 году северокорейская киберпреступная группировка Lazarus Group провела сложную многоэтапную атаку, нацеленную на сотрудника организации из сектора децентрализованных финансов (DeFi). Кампания, выявленная исследователями Юн Чжэн Ху и Миком Куменом из компании NCC Group Fox-IT, продемонстрировала использование нового и обновленного арсенала вредоносных программ для достижения максимальной скрытности и эффективности.
Атака начиналась с методов социальной инженерии. Злоумышленники, действуя через мессенджер Telegram, выдавали себя за существующего сотрудника торговой компании. Для организации встречи с жертвой они использовали поддельные веб-сайты, маскирующиеся под популярные сервисы планирования, такие как Calendly и Picktime. Точный вектор первоначального проникновения не установлен, однако факты указывают на возможное использование на тот момент неизвестной уязвимости (zero-day) в браузере Chrome.
На первом этапе компрометации на систему жертвы устанавливался загрузчик PerfhLoader, который развертывал троян удаленного доступа (RAT) PondRAT. Это вредоносное ПО, являющееся упрощенной версией известного с 2021 года трояна POOLRAT (также известного как SIMPLESEA), служило для первоначального закрепления в сети. Его функционал включал чтение и запись файлов, запуск процессов и выполнение шелл-кода, а связь с командным сервером (C2) осуществлялась по протоколу HTTP(S).
Параллельно с PondRAT злоумышленники развертывали набор дополнительных инструментов для разведки и сбора данных. В их число входили программы для создания скриншотов, кейлоггер, похититель учетных данных и cookie-файлов из браузера Chrome, а также известные утилиты Mimikatz, FRPC (быстрый обратный прокси), MidProxy и Proxy Mini. Этот арсенал позволял проводить разведку внутренней сети, похищать учетные данные и проксировать соединения.
После первоначального закрепления начинался второй этап атаки с использованием более сложного инструмента — ThemeForestRAT. Этот троян загружался непосредственно в оперативную память системы либо с помощью PondRAT, либо через отдельный загрузчик, что значительно усложняло его обнаружение. ThemeForestRAT обладал расширенным набором из почти 20 команд, позволяющих осуществлять детальный контроль над зараженной машиной.
Возможности ThemeForestRAT включали мониторинг новых сеансов удаленного рабочего стола (RDP), перечисление файлов и каталогов, выполнение файловых операций и команд, внедрение шелл-кода, загрузку файлов, тестирование TCP-соединений, изменение временных меток файлов (timestomping) и получение списка запущенных процессов. Троян также мог переходить в режим гибернации на заданное время для снижения подозрительной активности.
Анализ кода ThemeForestRAT выявил его сходство с вредоносным ПО под кодовым названием RomeoGolf. Именно этот инструмент был использован группировкой Lazarus в ходе разрушительной кибератаки на компанию Sony Pictures Entertainment (SPE) в ноябре 2014 года. Та атака стала частью масштабной операции, задокументированной компанией Novetta в рамках проекта "Operation Blockbuster".
Первые два этапа атаки с использованием PondRAT и ThemeForestRAT продолжались около трех месяцев. После выполнения задач по сбору данных и разведке злоумышленники удалили эти инструменты из скомпрометированной системы. Это ознаменовало переход к финальной, третьей стадии операции, предназначенной для долгосрочного и скрытного присутствия в сети.
На заключительном этапе был развернут наиболее сложный компонент арсенала — RemotePE. Этот продвинутый троян удаленного доступа, написанный на языке C++, предназначен для атак на высокоценные цели. Его развертывание происходило по сложной цепочке: сначала загрузчик DPAPILoader запускал RemotePELoader, который, в свою очередь, получал с командного сервера основной модуль RemotePE. Такая многоступенчатая загрузка обеспечивала максимальную скрытность и устойчивость к обнаружению.
Изображение носит иллюстративный характер
Атака начиналась с методов социальной инженерии. Злоумышленники, действуя через мессенджер Telegram, выдавали себя за существующего сотрудника торговой компании. Для организации встречи с жертвой они использовали поддельные веб-сайты, маскирующиеся под популярные сервисы планирования, такие как Calendly и Picktime. Точный вектор первоначального проникновения не установлен, однако факты указывают на возможное использование на тот момент неизвестной уязвимости (zero-day) в браузере Chrome.
На первом этапе компрометации на систему жертвы устанавливался загрузчик PerfhLoader, который развертывал троян удаленного доступа (RAT) PondRAT. Это вредоносное ПО, являющееся упрощенной версией известного с 2021 года трояна POOLRAT (также известного как SIMPLESEA), служило для первоначального закрепления в сети. Его функционал включал чтение и запись файлов, запуск процессов и выполнение шелл-кода, а связь с командным сервером (C2) осуществлялась по протоколу HTTP(S).
Параллельно с PondRAT злоумышленники развертывали набор дополнительных инструментов для разведки и сбора данных. В их число входили программы для создания скриншотов, кейлоггер, похититель учетных данных и cookie-файлов из браузера Chrome, а также известные утилиты Mimikatz, FRPC (быстрый обратный прокси), MidProxy и Proxy Mini. Этот арсенал позволял проводить разведку внутренней сети, похищать учетные данные и проксировать соединения.
После первоначального закрепления начинался второй этап атаки с использованием более сложного инструмента — ThemeForestRAT. Этот троян загружался непосредственно в оперативную память системы либо с помощью PondRAT, либо через отдельный загрузчик, что значительно усложняло его обнаружение. ThemeForestRAT обладал расширенным набором из почти 20 команд, позволяющих осуществлять детальный контроль над зараженной машиной.
Возможности ThemeForestRAT включали мониторинг новых сеансов удаленного рабочего стола (RDP), перечисление файлов и каталогов, выполнение файловых операций и команд, внедрение шелл-кода, загрузку файлов, тестирование TCP-соединений, изменение временных меток файлов (timestomping) и получение списка запущенных процессов. Троян также мог переходить в режим гибернации на заданное время для снижения подозрительной активности.
Анализ кода ThemeForestRAT выявил его сходство с вредоносным ПО под кодовым названием RomeoGolf. Именно этот инструмент был использован группировкой Lazarus в ходе разрушительной кибератаки на компанию Sony Pictures Entertainment (SPE) в ноябре 2014 года. Та атака стала частью масштабной операции, задокументированной компанией Novetta в рамках проекта "Operation Blockbuster".
Первые два этапа атаки с использованием PondRAT и ThemeForestRAT продолжались около трех месяцев. После выполнения задач по сбору данных и разведке злоумышленники удалили эти инструменты из скомпрометированной системы. Это ознаменовало переход к финальной, третьей стадии операции, предназначенной для долгосрочного и скрытного присутствия в сети.
На заключительном этапе был развернут наиболее сложный компонент арсенала — RemotePE. Этот продвинутый троян удаленного доступа, написанный на языке C++, предназначен для атак на высокоценные цели. Его развертывание происходило по сложной цепочке: сначала загрузчик DPAPILoader запускал RemotePELoader, который, в свою очередь, получал с командного сервера основной модуль RemotePE. Такая многоступенчатая загрузка обеспечивала максимальную скрытность и устойчивость к обнаружению.
