SOS :: Security Operation Space
16 июля, вторник, 00:00
|
Hot News:

Злоумышленники из Lazarus вооружились трояном HOPLIGHT

12 апреля 2019 г., пятница, 13:49

Оригинальный зловред маскирует общение с командным сервером и обеспечивает многофункциональный бэкдор.

APT-группировка Lazarus взяла на вооружение ранее неизвестный троян HOPLIGHT, способный доставлять на целевое устройство вредоносные модули, изменять реестр и делать инъекции в уже запущенные процессы.

К такому выводу пришли эксперты Департамента внутренней безопасности США и специалисты ФБР, опубликовавшие детальный отчет о зловреде. Они утверждают, что программа использует многоуровневую обфускацию канала передачи данных, чтобы скрыть командные серверы и затруднить обнаружение атаки антивирусными сканерами.

HOPLIGHT состоит из девяти исполняемых файлов, из них семь — прокси-приложения для маскировки трафика между инфицированным компьютером и центром управления. ИБ-специалисты выяснили, что троян использует легитимный SSL-сертификат южнокорейского поисковика Naver для генерации фальшивых TSL-рукопожатий и сокрытия канала передачи данных с жестко заданными IP-адресами хостов.

Вредоносные компоненты могут:

  • Подключаться к удаленному серверу.
  • Скачивать файлы с целевой машины и доставлять на нее полезную нагрузку.
  • Вести подсчет системных дисков.
  • Создавать и завершать процессы.
  • Вносить изменения в системный реестр.
  • Перемещать, читать и изменять файлы.
  • Внедрять код в активные процессы.
  • Запускать и останавливать службы в рамках ОС.

Исследователи обнаружили, что один из компонентов HOPLIGHT загружает в скомпрометированную систему несколько программных интерфейсов, связанных с тулкитами, для атак Pass-The-Hash. Такие вредоносные инструменты предназначены для авторизации на удаленном сервере, а также кражи пользовательских паролей и другой учетной информации. Помимо этого, зловред собирает и передает операторам данные о версии ОС, метках дисков и системном времени.

В феврале группировку Lazarus, которую некоторые эксперты связывают с Северной Кореей, заметили в атаках на российские компании. Как выяснили ИБ-специалисты, злоумышленники проникали на целевые системы через зараженные документы Word или Excel. Запуск макросов инициировал установку бэкдора KEYMARBLE, предназначенного для кражи данных.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
11:46
11:15
09:15
08:15
08:15
07:15
06:15
06:15
05:28
16:31
16:02
15:39
15:15
14:27
13:15
13:15
10:15
10:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.269
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.