Перейти к содержанию

Обнаружены очередные свидетельства связи между хакерами из КНДР и РФ


Рекомендуемые сообщения

Специалисты ИБ-компании Intel 471 обнаружили связи между кибероперациями, приписываемые северокорейским и российским киберпреступникам.

По данным ИБ-экспертов, на северокорейской киберпреступной группировке Lazarus лежит ответственность за такие крупные инциденты, как атаки вымогательского ПО WannaCry, киберограбление банка Бангладеш, атаки на криптовалютные биржи и десятки правительственных и оборонных организаций по всему миру.

Как сообщают специалисты Intel 471, киберпреступники из КНДР поддерживают тесные отношения с русскоязычными коллегами, в том числе с операторами трояна Dridex и TrickBot. Оператором Dridex является группировка TA505 или Evil Corp, предположительно имеющая связь с Россией.

Помимо прочего, она ответственна за кибератаки вымогательского ПО Locky, Bart и DoppelPaymer, а также вредоносного ПО Cobalt Strike, FlawedAmmyy, BackNet, ServHelper и SDBbot RAT. В свою очередь, русскоязычная группировка TrickBot является оператором трояна Dyre.

Согласно отчету Intel 471, вредоносное ПО, используемое исключительно северокорейскими хакерами, «скорее всего, доставляется через доступ к сетям, обеспечиваемый русскоязычными киберпреступниками».

И TA505, и TrickBot являются, по словам экспертов, группировками «первого эшелона», имеющими хорошую репутацию и пользующимися большим доверием в киберпреступном мире. То же самое касается и северокорейских хакеров.

TrickBot представляет собой сервис «вредоносное ПО как услуга» (malware-as-a-service, MaaS), доступ к которому предоставляется только доверенным клиентам.

«Как установили специалисты Intel 471, доступ к сервису могут получить только киберпреступники высшего уровня с проверенной репутацией. Репутация достигается путем покупки и продажи продуктов, товаров и услуг. Даже для того, чтобы узнать, с кем можно поговорить о доступе к TrickBot, нужно проявить себя и иметь хорошую репутацию на подпольных форумах», - сообщили исследователи.

Список доступного на подпольных форумах вредоносного ПО, которое использовалось северокорейскими хакерами, включает вымогательское ПО Hermes и базирующийся на его коде вымогатель Ryuk. Более того, предыдущие отчеты показали, что вредоносным ПО Lazarus заражены системы, ранее зараженные Emotet и TrickBot.

Согласно отчетам NTT Security и SentinelOne, существует связь между TrickBot и доставкой используемого Lazarus вредоносного ПО PowerBrace и PowerRatankba. Скорее всего, отмечают исследователи, клиенты TrickBot связаны с северокорейскими хакерами.

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
×
×
  • Создать...