Компания Lazarus злоупотребляет законным программным обеспечением для обеспечения безопасности при атаке на сеть поставок в Южной Корее, выясняет ESET Research

"Чтобы понять эту новую атаку на цепочку поставок, вы должны знать, что WIZVERA VeraPort, называемая программой установки интеграции, является южнокорейским приложением, которое помогает управлять таким дополнительным программным обеспечением безопасности. При установке WIZVERA VeraPort пользователи получают и устанавливают все необходимое программное обеспечение, необходимое для конкретного веб-сайта. Для запуска такой установки программного обеспечения требуется минимальное взаимодействие с пользователем”, - объясняет Антон Черепанов, исследователь ESET, возглавлявший расследование атаки. "Обычно это программное обеспечение используется правительственными и банковскими сайтами в Южной Корее. Для некоторых из этих сайтов обязательна установка WIZVERA VeraPort", - добавляет Черепанов.

Кроме того, злоумышленники использовали незаконно полученные сертификаты подписи кода для подписания образцов вредоносных программ. Интересно, что один из таких сертификатов был выдан американскому филиалу южнокорейской охранной компании. "Злоумышленники замаскировали образцы вредоносного ПО Lazarus как законное программное обеспечение. Эти образцы имеют те же имена файлов, значки и ресурсы, что и законное южнокорейское программное обеспечение”, - говорит Питер Калнай, исследователь ESET, который анализировал атаку Лазаря с Черепановым. "Именно сочетание скомпрометированных веб-сайтов с поддержкой WIZVERA VeraPort и конкретными параметрами конфигурации VeraPort позволяет злоумышленникам выполнять эту атаку", - добавляет Калнай.

ESET Research имеет веские основания приписать атаку Лазарусу, поскольку это продолжение того, что Крцерт назвал операцией BookCodes, приписываемой Лазарусу некоторыми членами исследовательского сообщества кибербезопасности. Другие причины-типичные характеристики набора инструментов; обнаружение (многие инструменты уже помечены ESET как NukeSped); тот факт, что атака произошла в Южной Корее, где, как известно, работает Lazarus; необычный и индивидуальный характер используемых методов вторжения и шифрования; а также настройка сетевой инфраструктуры.

Следует отметить, что набор инструментов Lazarus чрезвычайно широк, и ESET считает, что существует множество подгрупп. В отличие от наборов инструментов, используемых некоторыми другими киберпреступными группами, ни один из исходных кодов каких-либо инструментов Lazarus никогда не был раскрыт в публичной утечке.