Северокорейские хакеры атаковали военный сектор США

30 июля 2020 года

Северокорейские киберпреступники атаковали оборонные и аэрокосмические предприятия в США. Злоумышленники отправляли сотрудникам военной промышленности поддельные предложения о работе с целью взлома компьютерных сетей.

Как сообщили специалисты из компании McAfee, кибератаки начались в конце марта 2020 года и продолжались до мая. Вредоносная кампания, получившая название «Operation North Star», связана с северокорейской киберпреступной группировкой Lazarus (она же Hidden Cobra).

В ходе атак преступники отправляли фишинговые электронные письма, побуждавшие получателей открывать поддельные документы с предложениями о работе. Как отметили эксперты, злоумышленники использовали технику внедрения шаблона (template injection). Файл.docx представляет собой ZIP-файл, содержащий несколько частей. Используя технику внедрения шаблона, злоумышленник помещает ссылку в файл шаблона в одном из файлов.XML. По ссылке загружался файл шаблона (DOTM) с удаленного сервера. Некоторые из этих файлов шаблонов переименовываются в файлы JPEG на удаленном сервере, чтобы избежать любых подозрений. Файлы шаблонов содержат код макроса, написанный на языке Visual Basic, который загружает DLL-имплант в систему жертвы. Вредоносные DLL-файлы, доставленные через поддельные документы, хакеры использовали для осуществления кибершпионажа.

Злоумышленники всегда пытаются остаться незамеченными в ходе атак, поэтому часто наблюдается такая техника, как имитация User-Agent, присутствующего в системе. Например, использование одной и той же строки User-Agent из конфигураций web-браузера жертвы позволяет избежать обнаружения и замаскировать трафик. В данном случае преступники с помощью Windows API ObtainUserAgentString получили User-Agent и использовали это значение для соединения с C&C-сервером.

По словам экспертов, хакеры обеспечивали себе персистентность на системе путем доставления файла LNK в папку автозагрузки.

Источники

править
 
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.