Шпионская операция, вероятно, является продолжением кампании Dream Job, которая началась еще в августе 2020 года.
Специалисты в области кибербезопасности из компании Symantec сообщили , что северокорейская киберпреступная группировка Lazarus взламывает сети компаний химического сектора в целях шпионажа.
Шпионская операция, вероятно, является продолжением кампании Dream Job, которая началась еще в августе 2020 года. Преступная схема включала использование фальшивых предложений о работе с целью заставить соискателей переходить по ссылкам или открывать вредоносные вложения, которые затем позволяли преступникам установить шпионское ПО на компьютеры жертв. В ходе кампании Dream Job были атакованы оборонные, правительственные и инженерные организации в 2020 и 2021 годах.
Lazarus обратила свое внимание на химические компании в январе нынешнего года. ИБ-специалисты обнаружили сетевую активность хакеров в «ряде организаций, базирующихся в Южной Корее». Атаки обычно начинаются с отправки вредоносного HTML-файла, который копируется в DLL-файл с именем scskapplink.dll для компрометации приложения в системе.
«Файл DLL внедряется в INISAFE Web EX Client, который является легитимным программным обеспечением для управления системой. Файл scskapplink.dll обычно представляет собой подписанный троянский инструмент с добавленным вредоносным экспортом», — отметили эксперты.
Внедренный вредоносный код загружает и выполняет полезную нагрузку бэкдора с командного сервера, который использует ключ/значение параметра URL «prd_fld=racket». В этот момент вредоносное ПО повторно подключается к командному серверу, выполняет shell-код и загружает дополнительное вредоносное ПО.
Кроме того, преступники используют Windows Management Instrumentation (WMI) для перемещения по сети и внедрения DreamSecurity в приложение MagicLine на других компьютерах.
В одном случае злоумышленники украли учетные данные из разделов реестра SAM и SYSTEM, а затем провели несколько часов, запуская неизвестный shell-код с помощью загрузчика final.cpl. В других случаях хакеры установили BAT-файл для обеспечения персистентности в сети, а также установили инструменты посткомпрометации, в том числе SiteShoter, позволяющий делать скриншоты.
Источник: securitylab