Злоумышленники APT-группы Lazarus расширили своё портфолио атаками на оборонную промышленность.
Как говорится в известьи «Лаборатории Касперского», среди жертв атак были предприятия из России.
Lazarus ведёт свою деятельность как минимум с 2009 г., организуя широкомасштабные кампании кибершпионажа, операции с использованием программ-шифровальщиков причем даже атаки на криптовалютный рынок. В в наше время группа была сосредоточена на атаках на финансовые учреждения по всему миру. Однако в который раз 2020 года среди целей преступников оказались и предприятия оборонной промышленности.
Эксперты «Лаборатории Касперского» обнаружили в сети бэкдор ThreatNeedle, ранее замеченный в атаках Lazarus на криптовалютные компании. Начальное заражение происходило маршрутом целевого фишинга: преступники устремляли письма с вредоносными документами Microsoft Word или ссылками на такие документы, размещённые на удаленном сервере. Злоумышленники сделали ставку на актуальную тему - профилактику и диагностику коронавирусной инфекции. Письма были написаны якобы от имени сотрудника медицинского центра, находящегося в составе атакованной организации.
Если пользователь отмыкал вредоносный документ и разрешал выполнение макросов, зловред переходил к многоэтапной процедуре развёртывания. После установки ThreatNeedle преступники получали практически полный контроль над устройством.
В начале января 2021 года команда анализа угроз Google Threat Analysis Team сообщила, что Lazarus использует тот же бэкдор для атак на исследователей что касается кибербезопасности.