- 9,627
- 18
- 8 Ноя 2022
Хакеры улучшают техники атак, чтобы еще легче обходить системы защиты.
Согласно Для просмотра ссылки Войди
Новая кампания Lazarus началась в июне 2022 года и действовала как минимум до октября 2022 года. В этой кампании злоумышленники использовали домен «bloxholder[.]com», клон автоматизированной платформы для торговли криптовалютой HaasOnline.
Настоящий (слева) и клонированный сайт (справа) Фишинговый сайт распространял MSI-установщик Windows, который выдавал себя за приложение BloxHolder. На самом деле это было северокорейское Для просмотра ссылки Войди
После установки через цепочку заражения MSI AppleJeus создает запланированную задачу и помещает дополнительные файлы в папку «%APPDATA%\Roaming\Bloxholder\». Затем вредоносное ПО отправляет на сервер управления и контроля (C&C) через POST-запрос следующую информацию о системе:
- MAC-адрес;
- имя компьютера;
- версия ОС.
Так вредоносное ПО определяет в какой среде оно работает – на виртуальной машине или в песочнице. Также в недавних кампаниях группировка использует технику Для просмотра ссылки Войди
Цепочка атаки DLL Sideloading Исследователи Volexity заявили, что причина, по которой Lazarus выбрала технику Для просмотра ссылки Войди
Еще одна новая особенность последних образцов AppleJeus заключается в том, что все его строки и вызовы API теперь запутываются с помощью специального алгоритма, что делает их более незаметными для продуктов безопасности.
- Источник новости
- https://www.securitylab.ru/news/535122.php
