Ongoing kibernetska kampanja skupine Lazarus
Ongoing kibernetska kampanja skupine Lazarus je letos doživela porast aktivnosti, pri čemer ima centralno vlogo zlonamerna programska oprema BeaverTail, ki se je razvila za ciljanje na različne platforme, vključno z Windows, macOS in Node.js.
Lazarus uporablja zavajajoče taktike, kot so ponarejeni zaposlitveni razgovori in lažne aplikacije za video konferenčne klice, da razširja BeaverTail, ki nato prenese Python zadajca InvisibleFerret.
Nove posodobitve orodij na voljo napadalcu CivetQ so uvedle nove taktike in razširile obseg ciljatev, saj zdaj uporablja lažno aplikacijo za video konferenčne klice z imenom FCCCall, da zvabi žrtve v zlonamerne aktivnosti.
Poleg tega je CivetQ razširil svoje metode za izvoz podatkov, da vključujejo tudi Telegram, ter izboljšal prikritost svoje zlonamerne kode.
Razširitev ciljanja in napredne taktike
Napadalec je prav tako razširil svoje ciljanje tako, da vključuje razširitve za brskalnike, kot so Authenticator, WinAuth, Proxifier, upravitelji gesel, aplikacije za beleženje in kriptodenarnice.
CivetQ aktivno razvija in posodablja svoja orodja, vključno z BeaverTail, InvisibleFerret in Python skripte, ki sestavljajo CivetQ, medtem ko je Lazarus razširil svoje ciljne taktike, tako da vključujejo zaposlitvene portale izven LinkedIn-a.
Potencialne žrtve privabljajo s ponudbami za zaposlitev na platformah, kot so WWR, Moonlight in Upwork, nato jih vabijo, da prenesejo zlonamerno programsko opremo pod krinko tehničnega razgovora, ki, preoblečen kot aplikacija za video konference ali projekt Node.js, vsebuje zlonamerno programsko opremo za kompromitacijo sistemov žrtev.
Lazarus je prav tako začel ciljati na skladišča, povezana z igrami, s podobnimi taktikami, vključno z vbrizgavanjem zlonamernega JavaScript-a v kodna skladišča.
BeaverTail in InvisibleFerret: Napredne zmožnosti
BeaverTail je večplatformska zlonamerna programska oprema, ki cilja na Windows in macOS z okužbo uporabnikov preko lažne aplikacije za video konference ter krade poverilnice iz brskalnikov, razširitve za brskalnike, kriptodenarnice in hrambe poverilnic.
Najnovejša različica BeaverTail (Windows) je datoteka Windows Installer, ki namesti lažno aplikacijo za video konference z imenom FCCCall in nato prenese Python izvršljivo datoteko in naslednji tovor, InvisibleFerret.
Neusmiljena taktika in nove funkcionalnosti
BeaverTail (Python) je implementiral dodatne funkcionalnosti, kot so vzpostavitev stalnosti in konfiguracija AnyDesk, ki prav tako prenese več Python skriptov, ki kradejo podatke iz brskalnikov, razširitve za brskalnike, kriptodenarnice, hrambe poverilnic, odložišč in Microsoft Sticky Notes.
Napredno odkrivanje zlonamerne programske opreme
Group-IB platforma za detonacijo zlonamerne programske opreme omogoča analizo zlonamerne programske opreme v nadzorovanem okolju. Z izvajanjem vzorcev, kot je BeaverTail, lahko opazujejo kritične procese, kot sta python.exe in tar.exe, ki se sprožijo.
Ta dinamična analiza zagotavlja dragocen vpogled v vedenje zlonamerne programske opreme, vključno z njenim tokom izvajanja in potencialnimi dejanji. Video funkcija platforme še dodatno izboljša razumevanje z vizualno demonstracijo aktivnosti zlonamerne programske opreme med izvajanjem.