19.12.2024
1 хв
732
Пов’язана з північнокорейським режимом група Lazarus Group здійснила серію кібератак, які призвели до впровадження нового модульного бекдору CookiePlus.
Атаки були спрямовані на співробітників ядерної організації в січні 2024 року. Основний метод атаки полягав у надсиланні заражених утиліт, таких як трояни VNC, для оцінки технічних навичок жертви. Одна з атак під назвою «DeathNote» використовувала шкідливе програмне забезпечення «AmazonVNC.exe» для впровадження бекдору MISTPEN і нового модуля CookiePlus. CookiePlus, який був названий так, тому що CookiePlus був замаскований під плагін Notepad++. Модуль був здатний збирати системну інформацію, виконувати шкідливі команди та працювати у фоновому режимі. Для розповсюдження модуль використовував бічне завантаження DLL для отримання зашифрованих даних від керуючого сервера (C2).Модуль CookiePlus демонструє схожість з попереднім шкідливим програмним забезпеченням MISTPEN, що підтверджує, що арсенал Lazarus еволюціонує.
Lazarus відома своїми складними шпигунськими операціями, такими як NukeSped і DeathNote, націленими на ключові сектори, включаючи ядерну, оборонну та криптовалютну галузі. Група використовує як технологічні інновації, так і соціальну інженерію для отримання доступу до систем своїх цілей. 2024 року особлива увага приділялася розробці модульного програмного забезпечення, яке можна адаптувати для різних цілей. Використання CookiePlus стало важливим кроком в обході новітніх систем захисту. Це був важливий крок.
Кібератаки Lazarus Group з використанням CookiePlus підтверджують зростаючу загрозу для ключових секторів економіки. Це підкреслює необхідність посилення кібербезпеки, особливо в контексті модульного шкідливого програмного забезпечення.
