«Лаборатория Касперского» обнаружила онлайн-вымогателей в Южной Корее

[душман]

Эксперты GReAT (глобального центра исследования и анализа угроз «Лаборатории Касперского») зафиксировали ряд целевых атак с использованием программ-вымогателей на южнокорейские компании из разных отраслей. 

Как говорится в сообщении компании, используемые инструменты и несколько характерных признаков в коде позволили предположить, что их проводила кибергруппа Andariel, которая, по данным Корейского агентства финансовой безопасности, входит в состав Lazarus.

Основные цели Andariel — получение прибыли и кибершпионаж. С 2017 года группа атакует преимущественно финансовые институты, например, ранее она взламывала банкоматы в Южной Корее. С середины 2020 года Andariel распространяла вредоносный документ Word с безобидным названием «Форма заявки на участие», который позволял выполнить ранее неизвестную схему заражения с трёхступенчатой загрузкой.

Открытие документа приводило к запуску в фоновом режиме вредоносного макроса, жертва в явном виде должна была дать согласие на запуск макроса. Макрос, в свою очередь, запускал скрытый HTA-файл (HTML Application), который содержал модуль для взаимодействия с командно-контрольным сервером, маскирующийся под Internet Explorer (используя его иконку). 

Его основной задачей была подготовка к выполнению полноценного модуля удалённого доступа, открывающего широкие возможности для дистанционного управления скомпрометированной системой. Он позволял атакующим выполнять команды Windows, подключаться к заданному IP-адресу, составлять список файлов и манипулировать ими, а также делать скриншоты.

«Стоит отметить, в некоторых случаях после модуля удалённого доступа к заражённой системе загружалась ещё и программа-вымогатель, которая зашифровывала почти все файлы на компьютере жертвы, - предупреждают в «Лаборатории  Касперского». Незашифрованными оставались только критически важные для системы файлы. При этом некоторые конфигурационные файлы также подвергались шифрованию, что с большой вероятностью могло приводить к отказу системы. За расшифровку данных атакующие требовали выкуп в криптовалюте».