Вредоносное ПО ThreatNeedle
Вредоносное ПО ThreatNeedle - это бэкдор угроза, которая, по наблюдениям исследователей информационной безопасности, является частью опасного арсенала северокорейской группы ATP (Advanced Persistent Threat) под названием Lazarus (также известной как APT38 и Hidden Cobra). Впервые это вредоносное ПО было развернуто в ходе активной атаки в 2018 году, когда Lazarus нацелился на гонконгскую биржу криптовалют и разработчика мобильных игр.
В своей последней операции хакеры снова вернулись к использованию вредоносного ПО ThreatNeedle. На этот раз кампания по атаке нацелена на объекты оборонной промышленности, расположенные более чем в десятке стран по всему миру. Чтобы проникнуть в выбранные цели, Lazarus использует тщательно продуманную схему целевого фишинга. Хакеры собирают информацию из социальных сетей о выбранном сотруднике, а затем отправляют настраиваемое сообщение электронной почты, которое выглядит так, как будто оно было отправлено организацией сотрудника. В письме содержится либо документ Word, содержащий вредоносное ПО, либо ссылка на удаленный сервер, находящийся под контролем хакеров. Открытие документа или нажатие на ссылку запускает первую часть многоступенчатой цепочки атаки.
На этом этапе атаки Lazarus в основном проводит первоначальную разведку, а затем определяется, будет ли атака эскалацией путем сброса дополнительных вредоносных программ на скомпрометированную систему и начала продвижения по внутренней сети. ThreatNeedle позволяет хакерам получить полный контроль над системой, выполнять произвольные команды, манипулировать системами файлов и каталогов, собирать и извлекать данные, управлять процессами бэкдора и заставлять зараженное устройство переходить в спящий режим или переходить в спящий режим.
Наиболее опасным аспектом этой последней операции, выполненной Lazarus, является способность хакеров преодолеть сегментацию сети. Это означает, что даже если целевая организация разбила свою внутреннюю сеть на часть, подключенную к общедоступному Интернету, и часть, которая изолирована. Взлом осуществляется путем получения контроля над внутренним маршрутизатором и его настройки для работы в качестве прокси-сервера. Затем злоумышленники могут переправить данные, собранные из интрасети, на свой удаленный сервер.
