Russian
  • English
  • Korean
  • Техническая поддержка
  • Личный кабинет партнера
Positive Technologies
Russian
  • English
  • Korean
  • Решения
    Построение центра ГосСОПКА

    Комплексное решение для создания центра ГосСОПКА и взаимодействия с НКЦКИ

    Безопасность объектов КИИ

    Система безопасности значимых объектов КИИ в соответствии с требованиями закона № 187-ФЗ

    Комплекс для раннего выявления сложных угроз

    Комплексное решение для раннего выявления и предотвращения целевых атак

    PT Industrial Cybersecurity Suite

    Комплексная платформа для защиты промышленности от киберугроз

    Посмотреть все →
  • Продукты
    MaxPatrol 8

    Контроль защищенности и соответствия стандартам

    PT MultiScanner

    Многоуровневая защита от вредоносного ПО

    MaxPatrol VM

    Система нового поколения для управления уязвимостями

    PT Application Inspector

    Анализатор защищенности приложений

    PT Threat Intelligence Feeds

    Фиды с экспертными знаниями об угрозах

    MaxPatrol SIEM

    Выявление инцидентов ИБ в реальном времени

    PT Sandbox

    Первая песочница, которая защищает именно вашу инфраструктуру

    PT Network Attack Discovery

    Система анализа трафика (NTA) для выявления атак

    PT Platform 187

    Реализация основных требований 187-ФЗ для небольших инфраструктур

    XSpider

    Сканер уязвимостей

    PT ISIM

    Управление инцидентами кибербезопасности АСУ ТП

    MaxPatrol SIEM All-in-One

    Полноценный SIEM для небольших инфраструктур

    PT Application Firewall

    Защита приложений от веб-атак

    ПТ Ведомственный центр

    Управление инцидентами и взаимодействие с ГосСОПКА

    PT XDR

    Решение класса Extended Detection and Response для выявления киберугроз и реагирования на них

    Посмотреть все →
  • Сервисы
    Непрерывный анализ защищенности бизнеса

    Услуги Positive Technologies по анализу защищенности бизнеса от киберугроз позволят непрерывно выявлять реальные векторы атак на вашу компанию и совершенствовать стратегию реагирования на инциденты

    Исследование угроз и уязвимостей аппаратных решений

    Выявление аппаратных уязвимостей и закладок – один из самых сложных элементов в реализации зрелой стратегии безопасности. Эксперты Positive Technologies готовы оказать всестороннюю помощь в этом вопросе.

    Услуги PT Expert Security Center

    Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

    Расширенная техническая поддержка

    Сделайте использование продуктов Positive Technologies еще более эффективным и приятным с расширенной технической поддержкой. Наши специалисты могут самостоятельно провести установку и настройку продуктов, оценить эффективность работы и в кратчайшие сроки разобраться с любым обращением от клиентов.

    Посмотреть все →
  • Исследования
    Аналитические статьи
    База знаний
    Словарь терминов ИБ
    Хакерские группировки
    PT ESC Threat Intelligence
    Блог
    Вебинары
    Уязвимости и угрозы
    Посмотреть все →
  • Партнеры
    Авторизованные партнеры
    Дистрибьюторы
    Технологические партнеры
    MSSP-партнеры
    Стать партнером
    Вход в личный кабинет
    Посмотреть все →
  • О компании
    История
    Клиенты
    Долговые инструменты
    Пресс-центр
    Новости
    Мероприятия
    Вакансии
    Контакты
    Документация и материалы
    Эксперты
    Посмотреть все →
  • Инвесторам
Меню
  • Главная
  • Исследования
  • Хакерские группировки
  • Lazarus

Lazarus

Альтернативные названия: HIDDEN COBRA, ZINC, Guardians of Peace, Group 77, Office 91, Red Dot, Temp.Hermit, Nickel Academy, Labyrinth Chollima, Bureau 121, Unit 121, APT-C-26, Hastati Group, Whois Team, ATK 3, T-APT-15, NewRomanic Cyber Army Team, Appleworm, SectorA01, ITG03
Атакуемые отрасли:
  • Государственный сектор
  • Финансовый сектор
  • Информационные технологии
  • Авиационно-космическая промышленность
  • Военно-промышленный комплекс
  • Медиа
  • Фармацевтика
  • Здравоохранение
  • Криптовалютные биржи
  • Исследователи в области кибербезопасности

Содержание

  • Общее описание
  • Инструменты
  • Атакуемые отрасли
  • Атакуемые страны
  • Альтернативные названия группы
  • Отчеты Positive Technologies и других исследователей
  • Тактики из MITRE ATT&CK, использованные группой

Цели:

  • Вымогательство денежных средств
  • Кража денежных средств
  • Саботаж
  • Шпионаж

Общее описание

Lazarus — APT-группа, которую исследователи связывают с правительством Северной Кореи. Наиболее известна по взлому Sony Pictures и шифровальщику WannaCry, от которого пострадали более 150 стран. Имеет в своем арсенале вредоносные программы почти для всех платформ: Windows, MacOS, Linux и Android. Группа активна по крайней мере с 2009 года, организует широкомасштабные кампании кибершпионажа, операции с применением программ-шифровальщиков, а также атаки на криптовалютный рынок. В последние годы группа была сосредоточена на атаках на финансовые учреждения по всему миру. Однако с 2019 года среди целей злоумышленников оказались и предприятия оборонной промышленности. С начала 2021 года Lazarus стала проводить атаки также на исследователей в области кибербезопасности.

Инструменты

  • 3Rat Client
  • ARTFULPIE
  • ATMDtrack
  • Andaratm
  • AppleJeus
  • Aryan
  • AuditCred
  • BADCALL
  • BISTROMATH
  • BUFFETLINE
  • BanSwift
  • Bankshot
  • Bitsran
  • BlindToad
  • Bookcode
  • BootWreck
  • Brambul
  • COPPERHEDGE
  • Castov
  • CheeseTray
  • CleanToad
  • ClientTraficForwarder
  • Concealment Troy
  • Contopee
  • Dacls RAT
  • DarkComet
  • DeltaCharlie
  • Destover
  • DoublePulsar
  • Dozer
  • Dtrack
  • Duuzer
  • DyePack
  • ELECTRICFISH
  • EternalBlue
  • FALLCHILL
  • FASTCash
  • Fimlis
  • Gh0st RAT
  • HARDRAIN
  • HOPLIGHT
  • HOTCROISSANT
  • HTTP Troy
  • Hawup
  • Hermes
  • HotelAlfa
  • Hotwax
  • HtDnDownLoader
  • Http Dr0pper
  • IndiaHotel
  • IndiaIndia
  • IndiaJuliett
  • IndiaWhiskey
  • Joanap
  • Jokra
  • KEYMARBLE
  • KillDisk
  • KiloAlfa
  • Koredos
  • Lazarus
  • MATA
  • Manuscrypt
  • Mimikatz
  • Mydoom
  • NachoCheese
  • NestEgg,
  • NukeSped
  • OpBlockBuster
  • PEBBLEDASH
  • PSLogger
  • PhanDoor
  • PowerBrace
  • PowerRatankba
  • PowerShell RAT
  • PowerSpritz
  • PowerTask
  • ProcDump
  • Proxysvc
  • Quickcafe
  • Ratankba
  • RatankbaPOS
  • RawDisk
  • Recon
  • RedShawl
  • Rifdoor
  • Rising Sun
  • RomeoAlfa
  • RomeoBravo
  • RomeoCharlie
  • RomeoDelta
  • RomeoEcho
  • RomeoFoxtrot
  • RomeoGolf
  • RomeoHotel
  • RomeoMike
  • RomeoNovembe
  • RomeoNovember
  • RomeoWhiskey
  • RomeoWhiskey-One
  • RomeoWhiskey-Two
  • Romeos
  • SHARPKNOT
  • SLICKSHOES
  • SMB Scanner
  • SMBMap
  • SheepRAT
  • SierraAlfa
  • SierraAlfa-One
  • SierraAlfa-Two
  • SierraBravo
  • SierraBravo-One
  • SierraBravo-Two
  • SierraCharlie
  • SierraJuliett-MikeOne
  • SierraJuliett-MikeTwo
  • TAINTEDSCRIBE
  • TYPEFRAME
  • TangoCharlie
  • Tdrop
  • Tdrop2
  • Troy
  • UniformJuliett
  • Volgmer
  • Vyveva
  • WannaCry
  • WbBot
  • WhiskeyAlfa
  • WhiskeyAlfa-Three
  • WhiskeyDelta-Two
  • WolfRAT
  • Wormhole
  • Yort
  • wAgent

Атакуемые отрасли

  • Авиационно-космическая промышленность
  • Военно-промышленный комплекс
  • Государственный сектор
  • Здравоохранение
  • Информационные технологии
  • Исследователи в области кибербезопасности
  • Криптовалютные биржи
  • Медиа
  • Фармацевтика
  • Финансовый сектор

Атакуемые страны

  • Австралия
  • Бангладеш
  • Бразилия
  • Великобритания
  • Вьетнам
  • Гватемала
  • Германия
  • Гонконг
  • Израиль
  • Индия
  • Индонезия
  • Ирак
  • Иран
  • Канада
  • Китай
  • Малайзия
  • Мексика
  • Польша
  • Россия
  • США
  • Саудовская Аравия
  • Таиланд
  • Тайвань
  • Турция
  • Филиппины
  • Франция
  • Чили
  • Эквадор
  • Южная Корея
  • Япония

Альтернативные названия группы

  • HIDDEN COBRA
  • ZINC
  • Guardians of Peace
  • Group 77
  • Office 91
  • Red Dot
  • Temp.Hermit
  • Nickel Academy
  • Labyrinth Chollima
  • Bureau 121
  • Unit 121
  • APT-C-26
  • Hastati Group
  • Whois Team
  • ATK 3
  • T-APT-15
  • NewRomanic Cyber Army Team
  • Appleworm
  • SectorA01
  • ITG03

Отчеты Positive Technologies и других исследователей

  • https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/lazarus-recruitment/
  • https://blog.trendmicro.com/trendlabs-security-intelligence/wipall-malware-leads-to-gop-warning-in-sony-hack/
  • https://unit42.paloaltonetworks.com/tdrop2-attacks-suggest-dark-seoul-attackers-return/
  • https://unit42.paloaltonetworks.com/unit42-the-blockbuster-sequel/
  • https://www.symantec.com/connect/blogs/wannacry-ransomware-attacks-show-strong-links-lazarus-group
  • https://unit42.paloaltonetworks.com/unit42-blockbuster-saga-continues/
  • https://us-cert.cisa.gov/ncas/alerts/TA17-318A
  • https://blog.trendmicro.com/trendlabs-security-intelligence/lazarus-campaign-targeting-cryptocurrencies-reveals-remote-controller-tool-evolved-ratankba/
  • https://securingtomorrow.mcafee.com/mcafee-labs/lazarus-resurfaces-targets-global-banks-bitcoin-users/
  • https://www.trendmicro.com/en_us/research/18/g/new-andariel-reconnaissance-tactics-hint-at-next-targets.html
  • https://blogs.360.cn/blog/apt-c-26/
  • https://www.symantec.com/blogs/threat-intelligence/fastcash-lazarus-atm-malware
  • https://blog.trendmicro.com/trendlabs-security-intelligence/lazarus-continues-heists-mounts-attacks-on-financial-organizations-in-latin-america/
  • https://securelist.com/operation-applejeus/87553/
  • https://www.virusbulletin.com/blog/2018/11/vb2018-paper-hacking-sony-pictures/
  • https://www.mcafee.com/blogs/other-blogs/mcafee-labs/android-malware-appears-linked-to-lazarus-cybercrime-group/
  • https://www.mcafee.com/enterprise/en-us/assets/reports/rp-operation-sharpshooter.pdf
  • https://www.flashpoint-intel.com/blog/disclosure-chilean-redbanc-intrusion-lazarus-ties/
  • https://www.flashpoint-intel.com/blog/collective-intelligence-podcast-vitali-kremez-on-redbanc-attack-and-lazarus-group/
  • https://blog.talosintelligence.com/2019/01/fake-korean-job-posting.html
  • https://research.checkpoint.com/2019/north-korea-turns-against-russian-targets/
  • https://blog.malwarebytes.com/threat-analysis/2019/03/the-advanced-persistent-threat-files-lazarus-group/
  • https://www.us-cert.gov/ncas/analysis-reports/AR19-100A
  • https://www.sentinelone.com/blog/lazarus-apt-targets-mac-users-poisoned-word-document/
  • https://labs.sentinelone.com/lazarus-apt-targets-mac-users-poisoned-word-document/
  • https://www.virusbulletin.com/uploads/pdf/magazine/2018/VB2018-Kalnai-Poslusny.pdf
  • https://www.operationblockbuster.com/wp-content/uploads/2016/02/Operation-Blockbuster-Destructive-Malware-Report.pdf
  • https://www.us-cert.gov/HIDDEN-COBRA-North-Korean-Malicious-Cyber-Activity
  • https://www.us-cert.gov/ncas/analysis-reports/ar19-252a
  • https://www.us-cert.gov/ncas/analysis-reports/ar19-252b
  • https://www.fortinet.com/blog/threat-research/deep-analysis-nukesped-rat.html
  • https://www.trendmicro.com/en_us/research/19/k/mac-backdoor-linked-to-lazarus-targets-korean-users.html
  • https://labs.sentinelone.com/the-deadly-planeswalker-how-the-trickbot-group-united-high-tech-crimeware-apt/
  • https://us-cert.cisa.gov/ncas/current-activity/2020/02/14/north-korean-malicious-cyber-activity
  • https://labs.sentinelone.com/dprk-hidden-cobra-update-north-korean-malicious-cyber-activity/
  • https://blog.malwarebytes.com/threat-analysis/2020/05/new-mac-variant-of-lazarus-dacls-rat-distributed-via-trojanized-2fa-app/
  • https://www.us-cert.gov/ncas/analysis-reports/ar20-133b
  • https://blog.malwarelab.pl/posts/lazarus_validator/
  • https://www.welivesecurity.com/2020/06/17/operation-interception-aerospace-military-companies-cyberspies/
  • https://blog.reversinglabs.com/blog/hidden-cobra
  • https://www.sentinelone.com/blog/four-distinct-families-of-lazarus-malware-target-apples-macos-platform/
  • https://blog.reversinglabs.com/events/hunting-for-nation-state-attacks
  • https://www.mcafee.com/blogs/other-blogs/mcafee-labs/operation-north-star-a-job-offer-thats-too-good-to-be-true/
  • https://www.clearskysec.com/operation-dream-job/
  • https://us-cert.cisa.gov/ncas/analysis-reports/ar20-232a
  • https://labs.f-secure.com/publications/ti-report-lazarus-group-cryptocurrency-vertical
  • https://labs.f-secure.com/blog/catching-lazarus-threat-intelligence-to-real-detection-logic/
  • https://labs.f-secure.com/blog/catching-lazarus-threat-intelligence-to-real-detection-logic-part-two/
  • https://www.welivesecurity.com/2020/11/16/lazarus-supply-chain-attack-south-korea/
  • https://www.hvs-consulting.de/lazarus-report/
  • https://www.sentinelone.com/blog/12-months-of-fighting-cybercrime-sentinellabs-2020-review/
  • https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/
  • https://us-cert.cisa.gov/ncas/alerts/aa21-048a
  • https://securelist.ru/lazarus-threatneedle/100591/
  • https://0xthreatintel.medium.com/internals-of-lazarus-operation-dream-job-7ced9fc7da3e
  • https://blog.google/threat-analysis-group/update-campaign-targeting-security-researchers/
  • https://www.welivesecurity.com/2021/04/08/are-you-afreight-dark-watch-out-vyveva-new-lazarus-backdoor/

Тактики из MITRE ATT&CK, использованные группой

ID Название Описание
Resource Development
T1583.001 Acquire Infrastructure: Domains Группа Lazarus регистрировала домены для серверов C2, а также для распространения вредоносных программ под видом легального ПО, как в случае AppleJeus
T1583.006 Acquire Infrastructure: Web Services Для распространения вредоносных программ группа Lazarus использовала аккаунты в различных сервисах, таких как Github и LinkedIn
T1584.004 Compromise Infrastructure: Server Группа Lazarus часто взламывала легальные сайты с помощью общедоступных уязвимостей, а затем размещала там свои C2-серверы без вмешательства в обычное поведение сайта
T1587.001 Develop Capabilities: Malware Группа Lazarus разработала и использовала множество собственных вредоносных программ
T1588.003 Obtain Capabilities: Code Signing Certificates Группа Lazarus приобретала сертификаты со слабой степенью верификации владельца, а также воровала сертификаты производителей ПО для подписи своих вредоносных программ
T1588.004 Obtain Capabilities: Digital Certificates Группа Lazarus приобретала SSL-сертификаты со слабой степенью верификации владельца
Initial Access
T1133 External Remote Services Группа Lazarus использовала уязвимость в шлюзе VPN для заражения сети шифровальщиком VHD
T1189 Drive-by Compromise Группа Lazarus доставляла различное ВПО жертвам через взломанные легитимные сайты
T1190 Exploit Public-Facing Application Группа Lazarus использовала уязвимость в шлюзе VPN для заражения сети шифровальщиком VHD
T1195.002 Compromise Software Supply Chain Для доставки своего вредоносного ПО группа Lazarus использовала необычный механизм компрометации цепочки поставок, используя легитимное южнокорейское программное обеспечение и цифровые сертификаты, украденные у двух разных компаний
T1566 Phishing Группа Lazarus активно и убедительно использовала социальную инженерию. В некоторых случаях, когда у жертвы отсутствовала необходимая программа или вредоносный файл блокировался защитными решениями, злоумышленники предлагали другой вариант вредоносного файла и подробно объясняли, как его запустить
T1566.001 Phishing: Spearphishing Attachment Группа Lazarus атаковала жертв с помощью целевых фишинговых писем, содержащих вредоносные документы Microsoft Word и Hangul Office. Некоторые письма содержали файлы ISO, содержащие фишинговый PDF-документ и модифицированную программу просмотра PDF, содержащую вредоносный компонент
T1566.002 Phishing: Spearphishing Link Группа Lazarus распространяла вредоносную программу AppleJeus при помощи фишинговых писем, содержащих ссылки на сайт, где предлагалось скачать легитимную программу для торговли криптовалютой, содержащую вредоносный компонент
T1566.003 Phishing: Spearphishing via Service Группа Lazarus получала первоначальный доступ к целевой организации, отправив фишинговый документ системному администратору через его личный аккаунт в LinkedIn, используя специально подготовленный LinkedIn-аккаунт, выглядящий как настоящий аккаунт менеджера по персоналу. Документ маскировался под объявление о вакансии. Также с этой целью использовались WhatsApp, Telegram и Github
Execution
T1047 Windows Management Instrumentation Группа Lazarus применяла вредоносную программу SierraAlfa, которая использует утилиту командной строки wmic, входящую в состав Windows Management Instrumentation, для запуска себя в целевой системе во время перемещения внутри периметра
T1059.001 Command and Scripting Interpreter: PowerShell Группа Lazarus использовала PowerShell для загрузки вредоносной нагрузки и выполнения других команд
T1059.003 Command and Scripting Interpreter: Windows Command Shell Группа Lazarus применяла вредоносные программы, которые используют командную строку cmd.exe для выполнения команд на компьютерах жертв. Также группа Lazarus применяла вредоносные программы, которые используют механизм удаления своих бинарных файлов из системы с помощью BAT-файла
T1059.004 Command and Scripting Interpreter: Unix Shell Группа Lazarus применяла вредоносные программы, которые используют командную оболочку Linux для выполнения команд на компьютерах жертв
T1059.005 Command and Scripting Interpreter: Visual Basic Группа Lazarus использовала VBScript для выполнения различных команд, включая сбор информации о компьютере-жертве и скачивание вредоносной нагрузки
T1569.002 System Services: Service Execution Группа Lazarus использовала различные вредоносные программы, которые исполняются в качестве служб
T1106 Native API Группа Lazarus применяла вредоносные программы, которые используют API-вызов CreateProcessA для исполнения файлов
T1203 Exploitation for Client Execution Группа Lazarus использовала различные уязвимости, такие как Adobe Flash CVE-2018-4878, для исполнения вредоносного кода
T1204.002 User Execution: Malicious File Группа Lazarus пыталась заставить пользователей запустить вредоносное вложение Microsoft Word, доставленное при помощи целевой фишинговой рассылки. Также для запуска вредоносной программы AppleJeus группа Lazarus использовала инсталлятор, похожий на легитимный и имеющий валидную цифровую подпись
Persistence
T1098 Account Manipulation Группа Lazarus использовала вредоносную программу WhiskeyDelta-Two, которая содержит функцию, пытающуюся переименовать учетную запись администратора
T1053.004 Scheduled Task/Job: Launchd Группа Lazarus для установки вредоносной программы AppleJeus, использованной для атак на криптовалютные биржи, применяла скрипт, который помещал вредоносный plist файл в директорию /Library/LaunchDaemons для закрепления в системе в качестве демона
T1136.001 Create Account: Local Account В некоторых случаях группа Lazarus создавала локальные учетные записи администратора с именем admin$, чтобы скрыть их от вывода команды net user. Учетные записи создавались удаленно с помощью команды sc
T1542.003 Pre-OS Boot: Bootkit Группа Lazarus использовала вредоносную программу WhiskeyAlfa-Three, которая изменяет нулевой сектор основной загрузочной записи (MBR), чтобы гарантировать, что она сохранится даже после выключения компьютера жертвы
T1543.003 Create or Modify System Process: Windows Service Группа Lazarus использовала вредоносные программы, которые устанавливаются на компьютер жертвы в качестве служб с помощью утилиты sc.exe
T1543.004 Create or Modify System Process: Launch Daemon Группа Lazarus для установки вредоносной программы AppleJeus, использованной для атак на криптовалютные биржи, применяла скрипт, который помещал вредоносный plist-файл в директорию /Library/LaunchDaemons, а затем вызывал программу Updater с параметром CheckUpdate для запуска вредоносного демона, не дожидаясь перезагрузки
T1547 Boot or Logon Autostart Execution Группа Lazarus использовала вредоносные программы, которые регистрировали себя в качестве службы или создавали запланированную задачу с целью запуска при входе пользователя
T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder Группа Lazarus использовала вредоносные программы, которые пытаются закрепиться в системе, сохраняя себя в папке автозагрузки меню «Пуск» или добавляя соответствующее значение в ключ реестра Run
T1547.005 Boot or Logon Autostart Execution: Security Support Provider Группа Lazarus устанавливала в систему вредоносную SSP DLL, которая затем загружалась в адресное пространство процесса LSA, что давало злоумышленникам привилегии SYSTEM и закрепление в системе
T1547.009 Boot or Logon Autostart Execution: Shortcut Modification Группы Lazarus использовала вредоносные программы, которые закрепляются в системе, создавая ярлык в папке автозагрузки пользователя
Privilege Escalation
T1068 Exploitation for Privilege Escalation Для повышения привилегий группа Lazarus использовала эксплойты. Например, группа Lazarus применяла эксплойт Eternal Blue, эксплуатировавший уязвимость MS17-010, для повышения привилегий и запуска шифровальщика WannaCry на удаленном компьютере
Defense Evasion
T1027 Obfuscated Files or Information Группы Lazarus применяла вредоносные программы, которые использовали различные типы шифрования и кодирования в своих вредоносных файлах, включая AES, Caracachs, RC4, простой XOR с константой. Например, группа Lazarus использовала вредоносную программу Torisma, которая шифрует файл конфигурации алгоритмом VEST
T1027.002 Obfuscated Files or Information: Software Packing Группа Lazarus использовала различные пакеры, включая Themida и Enigma Protector
T1036.003 Masquerading: Rename System Utilities Группа Lazarus использовала вредоносные программы, которые копируют и переименовывают системные утилиты, чтобы избежать обнаружения использования данных утилит
T1036.004 Masquerading: Masquerade Task or Service Группа Lazarus применяла имплант, включающий в себя самописный PE-загрузчик с именем Security Package, который подключался в процесс lsass.exe через ключ реестра, а также вредоносные программы, которые используют имена и пути, схожие с системными или легитимными сервисами
T1055.001 Process Injection: Dynamic-link Library Injection Группа Lazarus использовала вредоносные программы, которые выполняют рефлексивную DLL-инъекцию
T1055.002 Process Injection: Portable Executable (PE) Injection Группа Lazarus применяла вредоносные программы, которые используют инжект вредоносной нагрузки в системные процессы
T1070.001 Indicator Removal on Host: Clear Windows Event Logs Для снижения вероятности обнаружения группа Lazarus удаляла доказательства своей активности из журнала событий Windows, когда они перемещались в сети жертвы. Например, из журнала безопасности Windows удалялись события с кодами 4778 и 4624, относящиеся к скомпрометированным учетным записям
T1070.004 Indicator Removal on Host: File Deletion Группа Lazarus использовала вредоносные программы, которые удаляют файлы различными способами, включая утилиту del и самоудаляющиеся скрипты для удаления бинарных файлов вредоносных программ с компьютера жертвы. Также группа Lazarus использовала безопасное удаление файлов
T1070.006 Indicator Removal on Host: Timestomp Группа Lazarus использовала вредоносные программы, которые меняют временные метки последней записи указанного ключа реестра или даты создания файла на случайную дату или же копируют временную метку легитимных файлов (таких как calc.exe или mspaint.exe)
T1112 Modify Registry Группа Lazarus применяла вредоносные программы, которые редактируют реестр, используя API-вызовы или помощью утилиты reg.exe. Также группа Lazarus использовала вредоносные программы, такие как ThreatNeedle и Vyveva, которые хранят конфигурацию в реестре
T1220 XSL Script Processing Группа Lazarus использовала вредоносные .lnk-файлы, которые создавали запланированную задачу, настроенную на периодическое выполнение удаленного сценария XSL через скопированный файл WMIC.exe
T1127.001 Trusted Developer Utilities Proxy Execution: MSBuild Группа Lazarus распространяла бэкдор ThreatNeedle с помощью вредоносных проектов Visual Studio, которые включали предварительно скомпилированные вредоносные файлы. Для запуска этих файлов использовался механизм событий, выполняющихся перед сборкой и хранящихся в файле .vcxproj в каталоге решений Visual Studio
T1134.002 Create Process with Token Группа Lazarus использовала кейлоггер KiloAlfa, который получает токены пользователя из интерактивных сеансов, чтобы выполнить себя с помощью вызова API CreateProcessAsUserA в контексте этого пользователя
T1140 Deobfuscate/Decode Files or Information Группа Lazarus использовала вредоносные программы, которые шифруют вредоносную нагрузку, а также шифруют или кодируют строки и имена импортируемых строк
T1218.001 Signed Binary Proxy Execution: Compiled HTML File Группа Lazarus использовала файлы CHM для скрытной доставки вредоносной нагрузки
T1218.005 Signed Binary Proxy Execution: Mshta Группа Lazarus использовала утилиту mshta.exe для запуска вредоносных скриптов и загрузки программ
T1218.011 Signed Binary Proxy Execution: Rundll32 Группа Lazarus использовала вредоносные DLL, которые запускались через rundll32.exe с указанием экспортируемой функции и параметров запуска
T1548 Abuse Elevation Control Mechanism Группа Lazarus использовала вредоносные программы, маскирующиеся под легитимный установщик, который запрашивает повышение прав у пользователя, после чего выполняет необходимые злоумышленнику действия в системе
T1562.001 Impair Defenses: Disable or Modify Tools Группа Lazarus использовала вредоносные программы, которые пытаются завершить различные процессы, связанные с антивирусами. Кроме того, группа Lazarus использовала вредоносные программы, которые отключают службы Microsoft Windows System Event Notification и Alerter, а также Windows Defender и Credential Guard
T1562.004 Impair Defenses: Disable or Modify System Firewall Группа Lazarus использовала вредоносные программы, которые изменяют настройки брандмауэра Windows, чтобы разрешить входящие соединения или полностью отключить брандмауэр, с помощью утилиты netsh
T1564.001 Hide Artifacts: Hidden Files and Directories Группа Lazarus устанавливала своим файлам и директориям атрибуты ""Системный"" и ""Скрытый"" в Windows, а также присваивала файлам имена с префиксом ""."", чтобы скрыть их от файлового менеджера Finder и терминала в MacOS. Также группа Lazarus прятала свое ВПО в скрытых папках по пути ""C:\ProgramData""
T1497 Virtualization/Sandbox Evasion Группа Lazarus применяла вредоносные программы, которые обходят автоматический анализ, используя в качестве параметра ключ шифрования. В случае отсутствия необходимого параметра вредоносная программа либо не запускается, либо запускает код легитимной программы
Credential Access
T1003.001 OS Credential Dumping: LSASS Memory Группа Lazarus использовала утилиту Mimikatz, в том числе собственную модифицированную версию, для извлечения учетных данных пользователей Windows, вошедших в систему, и кражи паролей, хранящихся в браузерах. Для снятия дампа группа Lazarus также применяла утилиту procdump из пакета SysInternals. Кроме того, злоумышленники включали устаревший протокол WDigest, что приводило к тому, что пароли начинали храниться в открытом виде в памяти процесса LSASS
T1110.003 Brute Force: Password Spraying Группа Lazarus применяла вредоносные программы, которые пытаются подключиться к общим ресурсам Windows для перемещения внутри периметра, используя сгенерированный список имен пользователей, который основан на перестановках имени пользователя Administrator и слабых паролях
T1552.001 Unsecured Credentials: Credentials In Files Группа Lazarus анализировала домашние каталоги администраторов, файлы конфигурации программного обеспечения и скрипты настройки и обслуживания, чтобы найти валидные учетные данные от доменных учетных записей
Discovery
T1007 System Service Discovery Группа Lazarus собирала информацию о зарегистрированных сервисах
T1010 Application Window Discovery Группа Lazarus использовала вредоносную программу IndiaIndia, которая получает и отправляет на свой сервер C2 заголовок окна для каждого запущенного процесса, а также кейлоггер KilaAlfa, который сообщает заголовок окна, с которым работает пользователь
T1012 Query Registry Группа Lazarus использовала вредоносную программу IndiaIndia, которая проверяет ключи реестра в HKCU и HKLM, чтобы определить наличие определенных программ, включая SecureCRT, служб терминалов, RealVNC, TightVNC, UltraVNC, Radmin, mRemote, TeamViewer, FileZilla, pcAnyware и удаленного рабочего стола, а также вредоносную программу, которая проверяет наличие следующего ключа реестра: HKEY_CURRENT_USER\Software\Bitcoin\Bitcoin-Qt. Кроме того, группа Lazarus использовала утилиту reg.exe для получения информации из реестра
T1016 System Network Configuration Discovery Группа Lazarus использовала вредоносные программы, которые получают и отправляют на свой сервер C2 различную информацию о конфигурации сетевой карты, включая IP-адрес, шлюзы, маску подсети, информацию DHCP и доступность WINS
T1033 System Owner/User Discovery Группа Lazarus собирала информацию о пользователях скомпрометированной машины, а также использовала вредоносные программы, которые перечисляют вошедших в систему пользователей
T1057 Process Discovery Группа Lazarus использовала вредоносные программы, которые собирают список запущенных процессов в системе-жертве, а также время работы процессов, и отправляют его на свой сервер C2. Для получения информации о процессах группа Lazarus использовала утилиту tasklist.exe
T1069.002 Permission Groups Discovery: Domain Groups Группа Lazarus использовала общеизвестную утилиту AdFind для перечисления всех подразделений, пользователей, компьютеров и групп в Active Directory
T1082 System Information Discovery Группа Lazarus использовала вредоносные программы, которые собирают информацию о типе и версии ОС жертвы, а также об имени компьютера жертвы и процессоре, дисковом пространстве и отправляют ее на свой сервер C2. Для этих целей группа Lazarus также использовала утилиту systeminfo.exe
T1083 File and Directory Discovery Группа Lazarus применяла вредоносные программы, которые используют общую функцию для идентификации целевых файлов по их расширению. Кроме того, группа Lazarus использовала вредоносные программы, которые могут перечислять файлы и каталоги, а также собирать информацию обо всех дисках
T1087.001 Account Discovery: Local Account Группа Lazarus собирала информацию о пользователях, в том числе посредством команд net user и net group
T1087.002 Account Discovery: Domain Account Группа Lazarus использовала общеизвестную утилиту AdFind для перечисления всех подразделений, пользователей, компьютеров и групп в Active Directory
T1124 System Time Discovery Группа Lazarus использовала вредоносные программы, которые могут получать текущее системное время и временную зону и отправлять их на сервер C2
T1135 Network Share Discovery Группа Lazarus использовала утилиты SMBMap и SMB scanner для обнаружения общих папок внутри сети и проверки прав локального администратора для ранее собранных учетных данных
Lateral Movement
T1021.001 Remote Services: Remote Desktop Protocol Группа Lazarus использовала вредоносные программы, которые используют RDP для распространения внутри сети
T1021.002 Remote Services: SMB/Windows Admin Shares Группа Lazarus использовала скомпрометированные легитимные привилегированные аккаунты для дальнейшего продвижения по сети. Также группа Lazarus применяла вредоносные программы, которые обращаются к общему ресурсу ADMIN$ через SMB для перемещения внутри периметра
T1021.005 Remote Services: Virtual Network Computing (VNC) Группа Lazarus использовала скомпрометированные аккаунты для перемещения по сети с помощью VNC
T1053.005 Scheduled Task/Job: Scheduled Task Для продвижения по сети группа Lazarus использовала планировщик задач. Запланированные задачи использовались для изменения ключа реестра HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages на удаленном компьютере
Collection
T1005 Data from Local System Группа Lazarus использовала вредоносные программы, которые сохраняют информацию, собранную о жертве, включая указанные каталоги с машины жертвы. Также группа Lazarus использовала утилиту wevtutil для экспорта журналов событий безопасности Windows
T1025 Data from Removable Media Группа Lazarus использовала бэкдор Vyveva, который может уведомлять свой сервер C2 о вновь вставленных съемных носителях и собирать с них файлы
T1039 Data from Network Shared Drive Группа Lazarus получала списки каталогов для определения содержимого общих ресурсов, доступных с текущего хоста. После кражи списков каталогов собирались только определенные файлы, которые представлялись ценными. Одной из целей были данные администраторов и ИТ-отделов
T1056.001 Input Capture: Keylogging Группа Lazarus использовала вредоносную программу KiloAlfa, которая содержит функцию кейлоггера
T1074.001 Data Staged: Local Data Staging Группа Lazarus использовала вредоносную программу IndiaIndia, которая сохраняет информацию, собранную о жертве, в файл, который сохраняется в каталоге %TEMP%, затем сжимается, зашифровывается и загружается на командный сервер
T1560 Archive Collected Data Группа Lazarus использовала вредоносную программу RomeoDelta, которая архивирует указанные каталоги в формате .zip, шифрует файл .zip и загружает его на свой сервер C2
T1560.001 Archive Collected Data: Archive via Utility Группа Lazarus использовала WinRar для упаковки данных в зашифрованные архивы. Часто архивирование выполнялось непосредственно в системе, в которой хранятся сами данные
T1560.002 Archive Collected Data: Archive via Library Группа Lazarus использовала вредоносные программы, которые сжимают собранные данные с помощью библиотеки Zlib и отправляют на сервер C2
T1560.003 Archive Collected Data: Archive via Custom Method Группа Lazarus использовала вредоносные программы, которые перед эксфильтрацией шифруют данные с помощью простой операции XOR
Command And Control
T1001.003 Data Obfuscation: Protocol Impersonation Группа Lazarus применяла вредоносные программы, которые используют уникальную форму шифрования связи, известную как FakeTLS, которая имитирует TLS, но использует другой метод шифрования, избегая атак типа «человек посередине» на SSL-шифрование
T1008 Fallback Channels Группа Lazarus использовала вредоносную программу SierraAlfa, которая отправляет данные на один из жестко закодированных серверов C2, выбранный случайным образом, и, если передача не удалась, выбирает новый сервер C2 для повторной попытки передачи
T1026 Multiband Communication Группа Lazarus применяла вредоносные программы, которые используют несколько каналов для C2, таких как вредоносная программа RomeoWhiskey-Two, которая использует два канала: канал удаленного доступа, который разбирает данные в формате дейтаграмм, и канал прокси, который формирует виртуальные сессии типа точка-точка
T1043 Commonly Used Port Группа Lazarus применяла вредоносные программы, которые используют список упорядоченных номеров портов для выбора порта для трафика C2, который включает часто используемые порты, такие как 443, 53, 80, 25 и 8080
TA0011 Command and Control Группа Lazarus использовала бэкдоры, которые получают команды от злоумышленников с командного сервера
T1071.001 Application Layer Protocol: Web Protocols Группа Lazarus применяла вредоносные программы, которые связываются с сервером C2 по протоколам HTTP и HTTPS. Серверы C2 часто размещаются на скомпрометированных легитимных сайтах
T1090.001 Proxy: Internal Proxy Группа Lazarus использовала прокси-серверы внутри сети. Внутренний прокси-сервер также использовался для кражи данных из изолированного сегмента сети компании-жертвы, не имевшего прямого соединения с интернетом
T1090.002 Proxy: External Proxy Группа Lazarus использовала несколько прокси, чтобы скрыть сетевой трафик от жертв
T1105 Ingress Tool Transfer Группа Lazarus применяла вредоносные программы, которые могут загружать и запускать бинарные файлы со своего сервера C2. Также группа Lazarus использовала бэкдоры, которые загружают дополнительные модули с сервера C2
T1132.001 Data Encoding: Standard Encoding Группа Lazarus применяла вредоносные программы, которые кодируют данные с помощью Base64
T1571 Non-Standard Port Группа Lazarus применяла вредоносные программы, которые используют список упорядоченных номеров портов для выбора порта для трафика C2, создавая несоответствия между портами и протоколами
T1572 Protocol Tunneling Группа Lazarus использовала собственный инструмент туннелирования сетевого трафика, в котором для создания скрытого канала связи применена нестандартная процедура шифрования
T1573.001 Encrypted Channel: Symmetric Cryptography Группа Lazarus использовала вредоносные программы, которые шифруют трафик C2 с помощью симметричных алгоритмов. Группа Lazarus применяла как собственные или редкие алгоритмы вроде Caracachs, так и известные алгоритмы вроде RC4 и их модификации
Exfiltration
T1573.002 Encrypted Channel: Asymmetric Cryptography Группа Lazarus использовала бэкдор Vyveva, который соединяется с C2 при помощи сети Tor, использующей ассиметричные алгоритмы шифрования
T1041 Exfiltration Over C2 Channel Группа Lazarus использовала вредоносные программы, которые эксфильтрацию по каналу C2
T1048 Exfiltration Over Alternative Protocol Для кражи данных группа Lazarus также использовала сайты, которые были заранее взломаны, откуда затем данные выкачивались из сети Tor
T1048.003 Exfiltration Over Alternative Protocol: Exfiltration Over Unencrypted/Obfuscated Non-C2 Protocol Группа Lazarus использовала вредоносную программу SierraBravo-Two, которая отправляла сообщение электронной почты через SMTP, содержащее информацию о недавно зараженных жертвах
Impact
T1485 Data Destruction Группа Lazarus использовала специальную функцию безопасного удаления для перезаписи содержимого файла данными из кучи
T1486 Data Encrypted for Impact Группа Lazarus использовала различные шифровальщики, включая WannaCry, Hemres и VHD
T1489 Service Stop Группа Lazarus останавливала службу MSExchangeIS, чтобы сделать содержимое Exchange недоступным для пользователей
T1491.001 Defacement: Internal Defacement Группа Lazarus демонстрировала угрожающие изображения после того, как выводила систему из строя при помощи очистки структуры диска
T1529 System Shutdown/Reboot Группа Lazarus перезагружала системы после уничтожения файлов и очистки MBR на зараженных системах
T1561.001 Disk Wipe: Disk Content Wipe Группа Lazarus использовала вредоносное ПО, такое как WhiskeyAlfa, для перезаписи первых 64 МБ каждого диска с помощью статических и случайных буферов. Затем аналогичный процесс использовался для очистки содержимого логических дисков и, наконец, попытки стереть каждый байт каждого сектора на каждом диске. WhiskeyBravo может быть использовано для перезаписи первых 4,9 МБ физических дисков. WhiskeyDelta может перезаписать первые 132 МБ или 1,5 МБ каждого диска случайными данными из кучи
T1561.002 Disk Wipe: Disk Structure Wipe Группа Lazarus использовала вредоносную программу SHARPKNOT, которая перезаписывает и удаляет основную загрузочную запись (MBR) на машине жертвы. Атакующие использовали вайпер, стирающий MBR, как минимум с 2009 года

Группировки, атакующие такие же отрасли:

  • APT31
  • APT32
  • Bronze Union
  • Calypso
  • ChamelGang
Поделиться:
Ссылка скопирована
Вернуться к выбору статей
Решения
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
  • PT Industrial Cybersecurity Suite
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • PT MultiScanner
  • PT Sandbox
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • PT Network Attack Discovery
  • PT Application Firewall
  • PT Application Inspector
  • PT Platform 187
  • ПТ Ведомственный центр
  • PT Threat Intelligence Feeds
  • XSpider
  • PT XDR
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
  • Расширенная техническая поддержка
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP-партнеры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • История
  • Клиенты
  • Долговые инструменты
  • Пресс-центр
  • Новости
  • Мероприятия
  • Вакансии
  • Контакты
  • Документация и материалы
  • Эксперты
Инвесторам
Positive Technologies
© Positive Technologies, 2002—2022.
Мы в социальных сетях:
  • Сообщить об уязвимости
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Информация в ленте Интерфакс
  • Карта сайта
© Positive Technologies, 2002—2022.
  • Сообщить об уязвимости
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Информация в ленте Интерфакс
  • Карта сайта