Новые атаки группы Lazarus – под прикрытием легального ПО

По сообщению компании ESET, ее эксперты обнаружили серию атак, за которой стоит одна из самых известных северокорейских группировок Lazarus. Ее жертвами стали пользователи государственных и банковских сайтов в Южной Корее. Для доставки вредоносного ПО злоумышленники использовали необычный механизм, маскируясь под украденное ПО безопасности и цифровые сертификаты.

Распространению вируса Lazarus, отмечают в ESET, способствовало то, что южнокорейских пользователей интернета часто просят установить дополнительные программы безопасности при посещении правительственных сайтов или веб-сайтов интернет-банкинга. Так, в Южной Корее распространена программа установки интеграций WIZVERA VeraPort, после ее установки пользователи получают возможность скачать необходимое ПО для работы определенного веб-сайта. Для некоторых из правительственных и банковских сайтов в этой стране наличие WIZVERA VeraPort обязательно.

Злоумышленники использовали незаконно полученные сертификаты подписи кода для внедрения образцов вредоносного ПО. Причем один из этих сертификатов был выдан фирме, специализирующейся на безопасности – американскому филиалу южнокорейской охранной компании. Образцы вредоносного ПО Lazarus были замаскированы под легальные программы, поясняют эксперты, эти образцы имеют такие же имена файлов, значки и ресурсы, что и законное южнокорейское ПО.

Проведенный ESET анализ еще раз продемонстрировал нестандартный характер используемых методов вторжения, шифрования и настройки сетевой инфраструктуры, ставший «визитной карточкой» хакеров Lazarus.