Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Специалисты компании Check Point зафиксировали кибершпионскую кампанию северокорейских правительственных хакеров из группировки Lazarus. Удивительно, что в этот раз киберпреступники выбрали в качестве целей российские организации.
Если эксперты не ошиблись в своих выводах, это первый инцидент подобного рода — прежде хакеры из КНДР никогда не нападали на Россию.
«Впервые мы наблюдаем кибератаку северокорейской группы на российские организации. Несмотря на то, что на данном этапе довольно проблематично с точностью установить киберпреступную группу, все методы и тактика указывают на Lazarus», — пишут исследователи в отчете.
Если точнее, эксперты полагают, что атаки исходят от Bluenoroff — специального подразделения, входящего в состав группы Lazarus.
Пейлоад конечного этапа, используемый в этой кампании, представляет собой бэкдор KEYMARBLE, который загружается со скомпрометированного сервера в виде CAB-файла, замаскированного под изображение JPEG — http://37.238.135[.]70/img/anan.jpg.
Взломанный сервер принадлежит «South Oil Company», хостер сервера — EarthLink Ltd.
Вся схема атаки выглядит следующим образом:
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |