Korea Północna używa GitHuba i Windows Update do hakowania

Maksym SłomskiSkomentuj
Korea Północna używa GitHuba i Windows Update do hakowania
Korea Północna kojarzy się w Europie przede wszystkim z totalitaryzmem, izolacją oraz sankcjami nakładanymi nań przez inne kraje. Ostatnio na państwo to patrzy się także pod kątem tego, jak duże spustoszenie w cyberprzestrzeni potrafią siać pracujący dlań hakerzy. Korea Północna od lata zarabia kradnąc kryptowaluty, a grupa hakerska Lazarus sięga po coraz to nowe metody atakowania internautów. O najnowszych ostrzega zespół Malwarebytes Threat Intelligence Team.

Grupa Lazarus wykorzystuje GitHub i Windows Update do ataków

Grupa Lazarus to północnokoreańska komórka znana równeż pod nazwą APT 38. Kierowana przez główną agencję wywiadowczą KRLD, Generalne Biuro Rozpoznania, była zaangażowana między innymi w głośne cyberataki wymierzone w Sony Pictures i WannaCry. Teraz dowiedzieliśmy się o nowych sposobach jej działania.

Finansowana przez państwo grupa przestępcza została przyłapana na wykorzystywaniu usługi Windows Update do dostarczania złośliwego oprogramowania, przy wykorzystaniu GitHub jako głównego serwera (C2). Ataki były wymierzone w organizacje, a także konkretne osoby fizyczne w sektorach obrony, lotnictwa i cywilnych kontraktów rządowych.

schemat malware

Schemat działania ataku. | Źródło: Malwarebytes

W atakach typu spear phishing wykorzystano dwa dokumenty MS Word z osadzonymi makrami (Lockheed_Martin_JobOpportunities.docx i Salary_Lockheed_Martin_job_opportunities_confidential.doc), które zostały zaprojektowane tak, aby wyglądały się jak oficjalna dokumentacja towarzysząca ofertom pracy w Lockheed Martin. Gdy makra zostaną wykonane przez niczego niepodejrzewającego użytkownika, pakiet złośliwego oprogramowania wykonuje serię instalacji w docelowym systemie, aby zapewnić trwałość i nieusuwalność malware na etapie uruchamiania komputera.



Eksperci ds. bezpieczeństwa w Malwarebytes przypisali atak Lazarusowi na podstawie podobieństw do wcześniejszych ataków północnokoreańskiej organizacji, takich jak:

  • Dobrze zaprojektowane dokumenty dotyczące ofert pracy dla wykonawców usług obronnych, takich jak Lockheed Martin, Northrop Grumman i Boeing
  • Konkretne targetowanie do osób poszukujących pracy w sektorach obronnym i lotniczym
  • Podobieństwa w metadanych, które łączą kampanię spear phishingową z podobnymi kampaniami z przeszłości

Amerykański rząd oferuje nagrody w wysokości do 5 milionów dolarów (ok. 20 milionów złotych) za wykrywanie podobnych ataków.

 
Szczegółowa analiza opisywanego tu ataku znajduje się na blogu Malwarebytes. Link znajdziecie w źródle poniżej.

Źródło: Malwarebytes

Udostępnij

Maksym SłomskiZ dziennikarstwem technologicznym związany od 2009 roku, z nowymi technologiami od dzieciństwa. Pamięta pakiety internetowe TP i granie z kumplami w kafejkach internetowych. Obecnie newsman, tester oraz "ten od TikToka". Miłośnik ulepszania swojego desktopa, czochrania kotów, Mazdy MX-5 i aktywnego uprawiania sportu. Wyznawca filozofii xD.