И снова Lazarus
Хакеры, работающие на спецслужбы Северной Кореи, продолжают «демонстрировать» новые вредоносные программы, используемые в текущих атаках: подразделение по кибербезопасности Unit 42 компании Palo Alto Networks выявило новый троянец для обеспечения удаленного доступа PondRAT.
В настоящее время этот вредонос используется в рамках обширной кампании Operation Dream Job («Операция «Работа Мечты»), в ходе которой злоумышленники атакуют профессионалов в различных областях с целью проникновения в инфраструктуру их текущих работодателей или получения доступа к их разработкам.
Как стало известно Unit 42, злоумышленники загрузили в главный репозиторий проектов на языке Python – PyPI – ряд пакетов с вредоносными «закладками». Таким образом, как полагают исследователи, хакеры надеются скомпрометировать рабочие станции разработчиков в компаниях, входящих в цепочки поставок для более крупных структур. Конечной целью являются, естественно, сами эти структуры.
К настоящему моменту известны четыре репозитория, скомпрометированные злоумышленниками: real-ids (893 скачивания), coloredtxt (381 скачивание), beautifultext (736 скачиваний) и minisound (416 скачиваний).
После установки в систему вредоносный пакет запускает модуль второй стадии, который скачивает и запускает уже основной компонент RAT-троянца под Linux или macOS.
Разные породы
По данным исследователей, Linux-версия вредоноса является, по мнению экспертов, «облегченной» версией троянца POOLRAT/SIMPLESEA, который в 2023 г. успешно использовался для атак на цепочки поставок компании 3CX. POOLRAT изначально создавался для атак на системы под macOS, но теперь эксперты наблюдают распространение и варианта под Linux.
PondRAT под macOS является вариантом другого вредоноса – AppleJeus. PondRAT позволяет загружать и скачивать файлы, приостанавливать операции на заданный период времени и осуществлять выполнение произвольных команд.
Исследователи Unit 42 приписывают атаки группировке под условным названием Gleaming Pisces. Другие эксперты из ИБ-сообщества отслеживают ту же группировку под такими наименованиями как Citrine Sleet, Labyrinth Chollima, Nickel Academy и UNC4736. Все, однако, сходятся во мнении, что эта группа является частью Lazarus Group, то есть речь идет о северокорейских «госхакерах».
«Появление дополнительных версий POOLRAT, нацеленных на Linux, указывает, что Gleaming Pisces расширяют свои возможности в средах Linux и macOS, – говорится в исследовании Unit 42. – Использование с виду легитимных пакетов Python в качестве кибероружия под множеством операционных систем представляет существенный риск для организаций. Успешная установка вредоносных пакетов от третьих сторон может привести к заражению и компрометации всей сети».
«Учитывая, как часто деятельность хакеров КНДР попадает в сводки, возникает впечатление, что они представляют системную угрозу для информбезопасности во всем мире, – говорит Александр Зонов, эксперт по информационной безопасности компании SEQ. – С другой стороны, именно то, что их деятельность – настолько на виду, снижает степень угрозы, которую они представляют».
Эксперт добавил, впрочем, что недооценивать угрозу со стороны Lazarus и всех ее многочисленных ответвлений, тоже не стоит.
Поделиться
