Visszatért a Lazarus csoport és pusztítóbb, mint valaha

forrás: Prím Online, 2018. augusztus 26. 13:08

A Kaspersky Lab GReAT (Global Research and Analysis Team – Nemzetközi Kutató és Elemző Csapat) részlegének kutatói nemrég egy AppleJeus nevű kártékony akciót azonosítottak, amelyet a hírhedt Lazarus csoporthoz kötnek. 

A támadók behatoltak egy ázsiai kriptovaluta váltó hálózatába a Trojanized kriptovaluta kereskedő szoftver segítségével. Céljuk a kriptovaluták ellopása a gyanútlan felhasználóktól. A Windows-os programok mellett a kutatók azonosítottak egy korábbi változatot, amely a macOS rendszerű gépeket támadta.  

 

Kép forrása: Kaspersky Lab

 

Ez az első olyan alkalom, amikor a Kaspersky Lab kutatói olyan rosszindulatú tevékenységet észleltek, amely a Lazarus csoporthoz köthető és macOS felhasználókat céloztak vele. Úgyhogy ez üzenetértékű mindazok számára, akik kriptovalutával kapcsolatos tevékenységeket folytatnak és macOS alapú rendszereken teszik mindezt. 

 

A GReAT elemzése alapján a hálózat feltörése akkor kezdődött, amikor egy ártalmatlan vállalati alkalmazott egy olyan harmadik féltől származó alkalmazást töltött le, amely egy legális kriptovaluta kereskedelemre alkalmas szoftvereket fejlesztő cég valós honlapján volt elérhető. 

 

Az alkalmazás kódja alapvetően nem tartalmaz gyanús elemeket, egyetlen összetevő kivételével, amely egy updater. A legális szoftverekben az ilyen fájlok az adott programok új verzióinak letöltését végzik. Ámde az AppleJeus esetében ez valójában felderítőként működik: először összegyűjt minden információt a számítógépről, amire telepítették, majd ezeket továbbítja a C&C szerverre. Ha a kiberbűnözők úgy ítélik meg, hogy ez egy olyan számítógép, amelyet érdemes feltörni, akkor a kártékony kód a szoftver frissítésével kerül a kiválasztott számítógépre. A rosszindulatú szoftverfrissítés telepíti a Fallchill nevű trójait, amelyet a Lazarus csoport korábban már használt. A Fallchill trójai telepítésével a támadók szinte korlátlan hozzáférést kapnak a megtámadott számítógéphez, amely lehetővé teszi az értékes pénzügyi adatok vagy privát információk ellopását. 

 

A helyzetet tovább súlyosbítja, hogy a bűnözők nemcsak a Windows operációs rendszerre fejlesztették ki a szoftvert, hanem a macOS rendszerre is, hiszen az utóbbi viszonylag ritkábban van kitéve a kibertámadásoknak. 

 

Egy másik szokatlan dolog az AppleJeus támadásban, hogy úgy tűnik, mintha supply-chain támadás lenne, de ez valójában nem lehetséges. Hiszen a legális szoftvernek, amelyet a támadásban felhasználtak, érvényes digitális tanúsítványa van és valós regisztrációs adatai a domainhez. Ugyanakkor a Kaspersky Lab kutatói a nyilvánosan elérhető információk alapján nem tudtak azonosítani egyetlen legitim szervezetet sem, amely a tanúsítványhoz köthető. 

 

Screenshot a gyanús kriptovaluta váltó szoftverről

 

„A Lazarus-csoport fokozott érdeklődését a kriptovaluta piac iránt már 2017. elején észleltük, amikor egy Monero bányász szoftvert telepítettek egy szerverükre. Azóta többször is támadtak kriptovaluta váltókat, valamint pénzügyi intézményeket. Az a tény, hogy most macOS rendszerre fejlesztettek rosszindulatú programokat, és létrehoztak egy teljesen hamis szoftver céget, valamint szoftvereket azt jelzi, hogy potenciálisan nagy nyereséget remélnek az ilyen rohamoktól, ezért további esetekre is számíthatunk.” – magyarázta Vitaly Kamluk, a Kaspersky Lab GReAT részlegének vezetője. 

 

A Lazarus csoport, amely kifinomult akcióiról, valamint észak-koreai kapcsolatairól ismert, nemcsak kiberkémkedésben és kiberszabotázsban, hanem immár pénzügyi támadásokban is érdekelt. A Kaspersky Lab kutatói és számos más kutató már korábban is észlelt Lazarushoz kapcsolódó olyan támadásokat, amelyeket pénzintézetek ellen indítottak. 

 

Annak érdekében, hogy gondoskodjon vállalata védelméről a Lazarus-csoporthoz hasonló kifinomult támadások ellen a Kaspersky Lab szakértői az alábbiakat javasolják:

  • Ne bízzon automatikusan a rendszeren futó kódban. Egy honlap, egy meggyőző cégprofil, vagy egy digitális tanúsítvány sem garantálja azt, hogy nincs backdoor egy letöltött szoftverben. 
  • Használjon megbízható biztonsági megoldást, amely rendelkezik viselkedésalapú észlelő technológiával.
  • Tájékozódjon a várható kibertámadásokról, például a vírusírtó cégek honlapján.
  • Használjon többlépcsős hitelesítést, és hardveres pénztárcákat, ha jelentős pénzügyi tranzakciókat folytat. Továbbá, ha megoldható, akkor különítsen el egy számítógépet ezekre a folyamatokra, amelyet nem is használ internet böngészéséhez vagy a levelek olvasásához. 

 

Bővebb információt angol nyelven ezen a linken olvashat. 

 

Biztonság ROVAT TOVÁBBI HÍREI

Rébuszok helyett kézzelfogható megoldások a NIS2 fejtörőhöz

Nagy érdeklődés övezte a Gábor Dénes Egyetem NIS2 konferenciáját. Ennek egyik oka a téma aktualitása, hiszen a kiberbiztonság szavatolása kötelező törvényi előírás az érintett vállalatok részére. A másik ok, hogy kevés az egész folyamatot átfogó és bemutató esemény, amely nemcsak a NIS2 irányelvben meghatározott jogszabályi előírásokat mutatja be és értelmezi, hanem kézzelfogható, gyakorlati megoldásokat is kínál a vállalatok részére. 

2024. november 22. 11:39

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Huszadik alkalommal adták át a Hégető Honorka-díjakat

2024. november 21. 16:58

Hosszabbít ’Az Év Honlapja’ pályázat!

2024. november 19. 09:54

Törj be a digitális élvonalba: Nevezz ’Az Év Honlapja’ pályázatra!

2024. november 14. 16:36

A virtuális valóság az egészségügyet is forradalmasíthatja

2024. november 12. 18:01