История
2024: Раскрыта структура Lazarus Group
В середине сентября 2024 года исследователи кибербезопасности из Palo Alto Networks представили данные по структуре Lazarus Group — печально известной хакерской группе, предположительно спонсируемой разведкой Северной Кореи.
Эта группа занимается широким спектром киберпреступной деятельности по крайней мере с 2009 года и известна атаками на финансовые учреждения, корпорации и критически важные объекты инфраструктуры. Исследователи Palo Alto Networks выявили, что под эгидой Lazarus работают шесть северокорейских группировок: Alluring Pisces (Bluenoroff), Gleaming Pisces (Citrine Sleet), Jumpy Pisces (Andariel), Selective Pisces (TEMP.Hermit), Slow Pisces (TraderTraitor) и Sparkling Pisces (Kimsuky). Известно, что группировки Alluring Pisces (APT38), Gleaming Pisces и Selective Pisces (ZINC) стоят за рядом громких хакерских атак, среди которых взлом Sony Pictures в 2014 году и кампания с использованием вируса-вымогателя WannaCry 2017 года.
Обнаружено, что эти северокорейские группировки используют сложный арсенал вредоносного ПО, способного поражать все основные платформы: Windows, macOS и Linux. Среди основных примеров выделяют RustBucket (трехступенчатый бэкдор для macOS, использующий AppleScript, Swift/Objective-C и Rust), KANDYKORN (пятиступенчатая цепочка заражения macOS, использующая скрипты Python, SUGARLOADER и HLOADER для сохранения), OdicLoader (загрузчик Linux ELF, маскирующийся под PDF), и CollectionRAT (средство удаленного администрирования Windows). Эти семейства вредоносных программ используют передовые методы, такие как рефлексивная загрузка, многоступенчатая загрузка и зашифрованная связь команд и управления.
Исследователи Palo Alto Networks отмечают, что, поскольку эти кибератаки часто направлены на критически значимые инфраструктурные, финансовые и правительственные объекты, крайне важно, чтобы эти организации разрабатывали готовые комплексные стратегии киберзащиты.[1]