كشفت كاسبرسكي عن هجوم إلكتروني جديد لمجموعة لازاروس تستهدف المنظمة الكورية الجنوبية

هجوم مجموعة لازاروس (الصورة: كاسبرسكي)

جاكرتا - كشف فريق Kaspersky GReAT عن حملة Lazarus الجديدة ، التي تجمع بين هجمات ثقوب المياه واستغلال نقاط الضعف في برامج الجهات الخارجية.

ووفقا لتحليله، استهدف المهاجمون ست منظومات على الأقل في قطاعات البرمجيات وتكنولوجيا المعلومات والتمويل وأشباه الموصلات والاتصالات في كوريا الجنوبية.

في هجوم الثقب الاحتياطي ، يقوم الجاني بالتهديد بتصفية حركة المرور الواردة لتحديد هوية الفرد المستهدف ، وتوجيه الهدف بشكل انتقائي إلى موقع ويب يسيطر عليه المهاجم.

هذا الموقع هو المكان الذي تبدأ فيه سلسلة من الإجراءات الفنية سلسلة الهجمات. تسلط هذه الطريقة الضوء على طبيعة عمليات المجموعة المستهدفة والاستراتيجية للغاية.

مجموعة لازاروس هي مجموعة تهديد نشطة منذ عام 2009 على الأقل. في عملية حديثة ، شوهدت المجموعة تستغل نقاط الضعف لمدة يوم واحد في Innorix Agent ، وهي أداة طرف ثالث متكاملة مع المتصفحات المستخدمة لنقل الملفات الآمنة في الأنظمة الإدارية والمالية.

من خلال استغلال هذه نقاط الضعف ، يمكن للمهاجمين تسهيل التحركات الجانبية ، مما يسمح بتثبيت برامج ضارة إضافية على المضيف المستهدف.

أدى ذلك في نهاية المطاف إلى انتشار البرامج الضارة التي تحمل التوقيعات Lazarus ، والتي كانت جزءا من سلسلة هجوم أكبر ، والتي تم شحنها من خلال قاذفة Agamemnon ، واستهدفت على وجه التحديد الإصدار الضعيف من Innorix (9,2,184,96).

أثناء تحليل سلوك البرامج الضارة، وجد خبراء GReAT من Kaspersky نقاط ضعف أخرى في تنزيلات الملفات العشوائية الإضافية في يوم الصفر، والتي تمكنوا من العثور عليها قبل أن يستخدمها أي تهديد من مرتكبي الهجمات في هجماتهم.

أبلغت كاسبرسكي عن مشاكل في وكيل Innorix إلى الوكالة الكورية للإنترنت والأمن (KrCERT) والبائعين. تم تحديث البرنامج مع نسخة معدلة.

"النهج الاستباقي للأمن السيبراني مهم جدا. إن الكشف المبكر عن هذه التهديدات هو المفتاح لمنع حدوث تنازلات أوسع نطاقا على مستوى النظام" ، قال سوجون ريو ، الباحث الأمني في GReAT (فريق البحوث والتحليل العالمي) التابع لشركة Kaspersky.