- 19,438
- 40
- 8 Ноя 2022
Watering hole-техника возвращается — и снова успешно.
Эксперты «Лаборатории Касперского» Для просмотра ссылки Войдиили Зарегистрируйся новую сложную целевую кампанию группы Lazarus. Злоумышленники атаковали организации в Южной Корее, используя два основных метода: сначала заражали системы через легитимные новостные сайты (техника watering hole), затем эксплуатировали Для просмотра ссылки Войди или Зарегистрируйся в южнокорейском программном обеспечении Innorix Agent, предназначенном для передачи файлов. Кампания получила название Операция SyncHole.
Под атаки попали как минимум шесть южнокорейских компаний из сфер программного обеспечения, ИТ, финансов, производства полупроводников и телекоммуникаций. Реальное число жертв может быть выше. Использованное в атаке программное обеспечение было обновлено, уязвимости устранены.
В процессе анализа кампании исследователи также обнаружили в Innorix Agent ещё одну уязвимость нулевого дня, которой злоумышленники не успели воспользоваться. Она позволяла загружать произвольные файлы. О находке оперативно сообщили Агентству по интернету и кибербезопасности Южной Кореи (KrCERT/CC) и вендору. Были выпущены Для просмотра ссылки Войдиили Зарегистрируйся . Уязвимость получила идентификатор Для просмотра ссылки Войди или Зарегистрируйся .
Атаки начинались с заражения легитимных новостных сайтов — ресурсы с большой аудиторией посещений использовались как приманка. Злоумышленники фильтровали трафик на стороне сервера и выборочно перенаправляли интересующих их пользователей на вредоносные сайты, откуда запускалась цепочка заражения.
На начальном этапе атак использовалась уязвимость первого дня в Innorix Agent — обязательном программном обеспечении для ряда финансовых и административных операций на южнокорейских сайтах. ПО установлено на множестве корпоративных и частных компьютеров, и любой пользователь с уязвимой версией мог стать жертвой. Эксплуатируя уязвимость, злоумышленники получали возможность продвигаться по внутренней сети и устанавливать вредоносные программы на целевые хосты. Среди них — бэкдор ThreatNeedle и загрузчик LPEClient, расширяющие возможности злоумышленников во внутренней инфраструктуре.
До обнаружения уязвимости в Innorix Agent исследователи уже зафиксировали использование ThreatNeedle и SIGNBT в корпоративной сети одной из южнокорейских компаний. Вредоносное ПО запускалось в памяти легитимного процесса SyncHost.exe как подпроцесс Cross EX — южнокорейского ПО, обеспечивающего работу защитных инструментов в браузерах.
Похожий подход был выявлен ещё в пяти организациях. В каждом случае заражение, предположительно, начиналось с уязвимости в Cross EX, которая впоследствии была подтверждена и устранена — соответствующее уведомление Для просмотра ссылки Войдиили Зарегистрируйся KrCERT.
Эксперты «Лаборатории Касперского» Для просмотра ссылки Войди
Под атаки попали как минимум шесть южнокорейских компаний из сфер программного обеспечения, ИТ, финансов, производства полупроводников и телекоммуникаций. Реальное число жертв может быть выше. Использованное в атаке программное обеспечение было обновлено, уязвимости устранены.
В процессе анализа кампании исследователи также обнаружили в Innorix Agent ещё одну уязвимость нулевого дня, которой злоумышленники не успели воспользоваться. Она позволяла загружать произвольные файлы. О находке оперативно сообщили Агентству по интернету и кибербезопасности Южной Кореи (KrCERT/CC) и вендору. Были выпущены Для просмотра ссылки Войди
Атаки начинались с заражения легитимных новостных сайтов — ресурсы с большой аудиторией посещений использовались как приманка. Злоумышленники фильтровали трафик на стороне сервера и выборочно перенаправляли интересующих их пользователей на вредоносные сайты, откуда запускалась цепочка заражения.
На начальном этапе атак использовалась уязвимость первого дня в Innorix Agent — обязательном программном обеспечении для ряда финансовых и административных операций на южнокорейских сайтах. ПО установлено на множестве корпоративных и частных компьютеров, и любой пользователь с уязвимой версией мог стать жертвой. Эксплуатируя уязвимость, злоумышленники получали возможность продвигаться по внутренней сети и устанавливать вредоносные программы на целевые хосты. Среди них — бэкдор ThreatNeedle и загрузчик LPEClient, расширяющие возможности злоумышленников во внутренней инфраструктуре.
До обнаружения уязвимости в Innorix Agent исследователи уже зафиксировали использование ThreatNeedle и SIGNBT в корпоративной сети одной из южнокорейских компаний. Вредоносное ПО запускалось в памяти легитимного процесса SyncHost.exe как подпроцесс Cross EX — южнокорейского ПО, обеспечивающего работу защитных инструментов в браузерах.
Похожий подход был выявлен ещё в пяти организациях. В каждом случае заражение, предположительно, начиналось с уязвимости в Cross EX, которая впоследствии была подтверждена и устранена — соответствующее уведомление Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
Последнее редактирование модератором:
