logo

Skupina Lazarus se nově soustředí na obranný průmysl

Lazarus je jednou z nejaktivnějších kyberzločineckých skupin současnosti, která se již od roku 2009 podílí na rozsáhlých kampaních v oblasti kybernetické špionáže, ransomware útocích, a útocích namířených proti obchodování s kryptoměnami.

Hackeři ze skupiny Lazarus se na IT infrastrukturu firem a institucí z oblasti obranného průmyslu zaměřuji od začátku roku 2020 - využívají k tomu vlastní backdoor zvaný ThreatNeedle.

Tato zadní vrátka se důmyslným způsobem dostávají do kritické části síťové infrasktruktury a shromažďují citlivé informace. Napadená zařízení přitom ani nemusejí být připojena k internetu.

Na začátku je promyšlený phishingový útok

Bezpečnostní experti společnosti Kaspersky se o této kampani dozvěděli poté, co byli vyzváni, aby pomohli vyřešit bezpečnostní incidenty a zjistili, že se daná organizace stala cílem nového backdooru (jde o typ malwaru, který umožňuje vzdáleně zcela ovládat napadené zařízení).

Zadní vrátka ThreatNeedle se skrytě pohybují infikovanými sítěmi a sbírají důvěrné informace. Doposud tento backdoor napadl organizace více než v tuctu zemích světa.

Do společnosti se infilturje prostřednictvím phishingu - oběti dostávají e-maily, které obsahují škodlivou přílohu ve Wordu nebo odkaz, který vypadá, že vede na server dané společnosti.

E-maily se často tváří jako zprávy s naléhavou informací o pandemii Covid-19 a údajně pocházely od respektovaného zdravotnického centra.

Jakmile oběť otevře škodlivý dokument, malware se stáhne do jejího zařízení a zahájí proces infiltrace společnosti.

Backdoor ThreatNeedle použitý v této kampani patří do rodiny malwaru známého jako Manuscrypt, který vyvinula skupina Lazarus a dříve byl zachycen při útocích na kryptoměny.

Po instalaci je ThreatNeedle schopen získat naprostou kontrolu nad zařízením oběti, což znamená, že může provádět vše od manipulace se soubory až po provádění příkazů zaslaných od vzdáleného řídícího serveru.

Malware se dostane i do odpojených sítí

Jednou z nejzajímavějších technik v této kampani je schopnost skupiny Lazarus získávat data jak z firemních IT sítí (tedy sítí, na kterých jsou připojeny firemní počítače s přístupem k internetu), tak ze sítí s omezeným provozem (jde například o síť, na kterou jsou napojena kriticky důležitá zařízení a počítače s velmi citlivými daty, a tudíž nejsou zároveň připojena k internetu).

Podle přísných pravidel jedné z napadených společností nesmí existovat mezi těmito dvěma typy sítí žádné propojení a nesmějí si navzájem předávat informace.

Správci IT, kteří mají na starosti bezproblémový chod všech sítí v dané firmě, se však mohou připojovat k oběma sítím.

Skupině Lazarus tak stačilo získat kontrolu nad počítačem administrátora a poté přenastavit firewall, aby se mohla dostat do sítě s omezeným provozem a odtud ukrást citlivá data.

Lazarus není jen velmi aktivní, ale také hodně sofistikovaný. Nejen že dokázal překonat segmentaci sítě, ale také provedl rozsáhlou analýzu, aby mohl vytvořit velmi dobře personalizované a efektivní phishingové e-maily (tzv. spear phishing) a připravil vlastní nástroje k stahování a ukládání ukradených dat na vzdálený server.

Protože se různé organizace nejen v obranném průmyslu stále více zabývají možností práce na dálku, a jsou tím pádem i zranitelnější, je důležité, aby přijaly zásadnější bezpečnostní opatření na ochranu před těmito typy pokročilých útoků.

Bezpečnostní experti společnosti Kaspersky připravili několik doporučení, jak se ochránit před útoky podobnými backdooru ThreatNeedle.

Kaspersky doporučuje:

Článek ze dne 1. března 2021 - pondělí

Další články od KASPERSKY LAB CZECH REPUBLIC

Bezpečnostní hrozba BlueNoroff vykrádá účty finančních startupů

Ochrana digitální identity v prostředí metasvěta

Rekordní záchyt nových typů škodlivých souborů

Jak nastavit ochranu soukromí u různých internetových služeb a platforem

Škodlivý doplněk krade přihlašovací údaje uživatelů Microsoft Exchange Serveru

Nebezpečná zranitelnost v rozšířené knihově nástrojů pro Java aplikace

Nové strategie ransomware útočníků

Zásady kybernetické bezpečnosti pro bionická zařízení

Firmy často tají informace o úniku osobních údajů zaměstnanců

Lepší zabezpečení kyberbezpečnosti je pro zdravotnická zařízení velkou výzvou

Prognózy finančních hrozeb roku 2022

Slevové akce typu Black Friday lákají k podvodům při online platbách

Jak se lidé a firmy dokázali přizpůsobit podmínkám práce na home office

Nahlédněte do zákulisí etických hackerů a kybernetických profesionálů

Špatná legislativa brzdí vyšetřování kybernetické kriminality

Kyberzločinci intenzivně využívají streamované pořady a seriály jako návnadu

Aktualizace Kaspersky VPN Secure Connection

Počet pokročilých DDoS útoků roste

Pozor na scam a phishing ve falešných kampaních podvodníků

Kyberzločin zneužívá popularitu Hry na oliheň

Skupina Lazarus vyvíjí prostředky pro útok na dodavatelské řetězce

Simulační hra o kyberbezpečnosti pro diplomaty a úředníky

Bezpečná online práce zaměstnanců s využitím VPN

Bankovní trojan Trickbot se překotně vyvíjí

Nový zero-day exploit MysterySnail napadá servery s Microsoft Windows

Sdílení dat s dodavateli představuje riziko kybernetického útoku

Absolutní ochrana před ransomware

Nový backdoor Tomiris se podezřele podobá malwaru Sunshuttle

Spyware FinFisher se snaží obcházet bezpečnostních řešení

Trojan BloodyStealer ohrožuje on-line herní platformy

Cybersecurity platforma pomáhá v rozvoji nových produktů a služeb

Sociální sítě během epidemie často nahrazují skutečné vztahy

Kaspersky Smart Home Security pro ochranu IoT zařízení chytrých domácností

Kaspersky Security Day

Pravidelné aktualizace a silná hesla snižují rizika kybernetického napadení firem

SAS 2021 - Summit bezpečnostních analytiků

Microsoft Exchange Server čelí nárůstu kybernetických útoků

Bezpečnostní řešení Kaspersky spolehlivě chrání před bankovním trojanem QakBot

Dopady pandemie na malé firmy

Vliv pandemie na výskyt kybernetických hrozeb souvisejících s hrami

Malware v modifikovaném WhatsAppu dokáže zneužít napadený telefon

Podvodné nástroje ohrožují investory do kryptoměn

Filmový dokument o likvidaci hackerské skupiny Emotet

Hlavním nástrojem podvodů na internetu v době pandemie je phishing

Nové triky internetových podvodníků

Pokles DDos útoků

Pozor na falešné instalace Windows 11

Iniciativa No More Ransom pomáhá s obnovou zašifrovaných dat

Jak na ochranu organizace před APT a jinými pokročilými útoky

Nové možnosti hlasovacího systému Polys