Содержание
Цели:
- Вымогательство денежных средств
- Кража денежных средств
- Саботаж
- Шпионаж
Общее описание
Lazarus — APT-группа, которую исследователи связывают с правительством Северной Кореи. Наиболее известна по взлому Sony Pictures и шифровальщику WannaCry, от которого пострадали более 150 стран. Имеет в своем арсенале вредоносные программы почти для всех платформ: Windows, MacOS, Linux и Android. Группа активна по крайней мере с 2009 года, организует широкомасштабные кампании кибершпионажа, операции с применением программ-шифровальщиков, а также атаки на криптовалютный рынок. В последние годы группа была сосредоточена на атаках на финансовые учреждения по всему миру. Однако с 2019 года среди целей злоумышленников оказались и предприятия оборонной промышленности. С начала 2021 года Lazarus стала проводить атаки также на исследователей в области кибербезопасности.
Инструменты
- 3Rat Client
- ARTFULPIE
- ATMDtrack
- Andaratm
- AppleJeus
- Aryan
- AuditCred
- BADCALL
- BISTROMATH
- BUFFETLINE
- BanSwift
- Bankshot
- Bitsran
- BlindToad
- Bookcode
- BootWreck
- Brambul
- COPPERHEDGE
- Castov
- CheeseTray
- CleanToad
- ClientTraficForwarder
- Concealment Troy
- Contopee
- Dacls RAT
- DarkComet
- DeltaCharlie
- Destover
- DoublePulsar
- Dozer
- Dtrack
- Duuzer
- DyePack
- ELECTRICFISH
- EternalBlue
- FALLCHILL
- FASTCash
- Fimlis
- Gh0st RAT
- HARDRAIN
- HOPLIGHT
- HOTCROISSANT
- HTTP Troy
- Hawup
- Hermes
- HotelAlfa
- Hotwax
- HtDnDownLoader
- Http Dr0pper
- IndiaHotel
- IndiaIndia
- IndiaJuliett
- IndiaWhiskey
- Joanap
- Jokra
- KEYMARBLE
- KillDisk
- KiloAlfa
- Koredos
- Lazarus
- MATA
- Manuscrypt
- Mimikatz
- Mydoom
- NachoCheese
- NestEgg,
- NukeSped
- OpBlockBuster
- PEBBLEDASH
- PSLogger
- PhanDoor
- PowerBrace
- PowerRatankba
- PowerShell RAT
- PowerSpritz
- PowerTask
- ProcDump
- Proxysvc
- Quickcafe
- Ratankba
- RatankbaPOS
- RawDisk
- Recon
- RedShawl
- Rifdoor
- Rising Sun
- RomeoAlfa
- RomeoBravo
- RomeoCharlie
- RomeoDelta
- RomeoEcho
- RomeoFoxtrot
- RomeoGolf
- RomeoHotel
- RomeoMike
- RomeoNovembe
- RomeoNovember
- RomeoWhiskey
- RomeoWhiskey-One
- RomeoWhiskey-Two
- Romeos
- SHARPKNOT
- SLICKSHOES
- SMB Scanner
- SMBMap
- SheepRAT
- SierraAlfa
- SierraAlfa-One
- SierraAlfa-Two
- SierraBravo
- SierraBravo-One
- SierraBravo-Two
- SierraCharlie
- SierraJuliett-MikeOne
- SierraJuliett-MikeTwo
- TAINTEDSCRIBE
- TYPEFRAME
- TangoCharlie
- Tdrop
- Tdrop2
- Troy
- UniformJuliett
- Volgmer
- Vyveva
- WannaCry
- WbBot
- WhiskeyAlfa
- WhiskeyAlfa-Three
- WhiskeyDelta-Two
- WolfRAT
- Wormhole
- Yort
- wAgent
Атакуемые отрасли
- Авиационно-космическая промышленность
- Военно-промышленный комплекс
- Государственный сектор
- Здравоохранение
- Информационные технологии
- Исследователи в области кибербезопасности
- Криптовалютные биржи
- Медиа
- Фармацевтика
- Финансовый сектор
Атакуемые страны
- Австралия
- Бангладеш
- Бразилия
- Великобритания
- Вьетнам
- Гватемала
- Германия
- Гонконг
- Израиль
- Индия
- Индонезия
- Ирак
- Иран
- Канада
- Китай
- Малайзия
- Мексика
- Польша
- Россия
- США
- Саудовская Аравия
- Таиланд
- Тайвань
- Турция
- Филиппины
- Франция
- Чили
- Эквадор
- Южная Корея
- Япония
Альтернативные названия группы
- HIDDEN COBRA
- ZINC
- Guardians of Peace
- Group 77
- Office 91
- Red Dot
- Temp.Hermit
- Nickel Academy
- Labyrinth Chollima
- Bureau 121
- Unit 121
- APT-C-26
- Hastati Group
- Whois Team
- ATK 3
- T-APT-15
- NewRomanic Cyber Army Team
- Appleworm
- SectorA01
- ITG03
Отчеты Positive Technologies и других исследователей
- https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/lazarus-recruitment/
- https://blog.trendmicro.com/trendlabs-security-intelligence/wipall-malware-leads-to-gop-warning-in-sony-hack/
- https://unit42.paloaltonetworks.com/tdrop2-attacks-suggest-dark-seoul-attackers-return/
- https://unit42.paloaltonetworks.com/unit42-the-blockbuster-sequel/
- https://www.symantec.com/connect/blogs/wannacry-ransomware-attacks-show-strong-links-lazarus-group
- https://unit42.paloaltonetworks.com/unit42-blockbuster-saga-continues/
- https://us-cert.cisa.gov/ncas/alerts/TA17-318A
- https://blog.trendmicro.com/trendlabs-security-intelligence/lazarus-campaign-targeting-cryptocurrencies-reveals-remote-controller-tool-evolved-ratankba/
- https://securingtomorrow.mcafee.com/mcafee-labs/lazarus-resurfaces-targets-global-banks-bitcoin-users/
- https://www.trendmicro.com/en_us/research/18/g/new-andariel-reconnaissance-tactics-hint-at-next-targets.html
- https://blogs.360.cn/blog/apt-c-26/
- https://www.symantec.com/blogs/threat-intelligence/fastcash-lazarus-atm-malware
- https://blog.trendmicro.com/trendlabs-security-intelligence/lazarus-continues-heists-mounts-attacks-on-financial-organizations-in-latin-america/
- https://securelist.com/operation-applejeus/87553/
- https://www.virusbulletin.com/blog/2018/11/vb2018-paper-hacking-sony-pictures/
- https://www.mcafee.com/blogs/other-blogs/mcafee-labs/android-malware-appears-linked-to-lazarus-cybercrime-group/
- https://www.mcafee.com/enterprise/en-us/assets/reports/rp-operation-sharpshooter.pdf
- https://www.flashpoint-intel.com/blog/disclosure-chilean-redbanc-intrusion-lazarus-ties/
- https://www.flashpoint-intel.com/blog/collective-intelligence-podcast-vitali-kremez-on-redbanc-attack-and-lazarus-group/
- https://blog.talosintelligence.com/2019/01/fake-korean-job-posting.html
- https://research.checkpoint.com/2019/north-korea-turns-against-russian-targets/
- https://blog.malwarebytes.com/threat-analysis/2019/03/the-advanced-persistent-threat-files-lazarus-group/
- https://www.us-cert.gov/ncas/analysis-reports/AR19-100A
- https://www.sentinelone.com/blog/lazarus-apt-targets-mac-users-poisoned-word-document/
- https://labs.sentinelone.com/lazarus-apt-targets-mac-users-poisoned-word-document/
- https://www.virusbulletin.com/uploads/pdf/magazine/2018/VB2018-Kalnai-Poslusny.pdf
- https://www.operationblockbuster.com/wp-content/uploads/2016/02/Operation-Blockbuster-Destructive-Malware-Report.pdf
- https://www.us-cert.gov/HIDDEN-COBRA-North-Korean-Malicious-Cyber-Activity
- https://www.us-cert.gov/ncas/analysis-reports/ar19-252a
- https://www.us-cert.gov/ncas/analysis-reports/ar19-252b
- https://www.fortinet.com/blog/threat-research/deep-analysis-nukesped-rat.html
- https://www.trendmicro.com/en_us/research/19/k/mac-backdoor-linked-to-lazarus-targets-korean-users.html
- https://labs.sentinelone.com/the-deadly-planeswalker-how-the-trickbot-group-united-high-tech-crimeware-apt/
- https://us-cert.cisa.gov/ncas/current-activity/2020/02/14/north-korean-malicious-cyber-activity
- https://labs.sentinelone.com/dprk-hidden-cobra-update-north-korean-malicious-cyber-activity/
- https://blog.malwarebytes.com/threat-analysis/2020/05/new-mac-variant-of-lazarus-dacls-rat-distributed-via-trojanized-2fa-app/
- https://www.us-cert.gov/ncas/analysis-reports/ar20-133b
- https://blog.malwarelab.pl/posts/lazarus_validator/
- https://www.welivesecurity.com/2020/06/17/operation-interception-aerospace-military-companies-cyberspies/
- https://blog.reversinglabs.com/blog/hidden-cobra
- https://www.sentinelone.com/blog/four-distinct-families-of-lazarus-malware-target-apples-macos-platform/
- https://blog.reversinglabs.com/events/hunting-for-nation-state-attacks
- https://www.mcafee.com/blogs/other-blogs/mcafee-labs/operation-north-star-a-job-offer-thats-too-good-to-be-true/
- https://www.clearskysec.com/operation-dream-job/
- https://us-cert.cisa.gov/ncas/analysis-reports/ar20-232a
- https://labs.f-secure.com/publications/ti-report-lazarus-group-cryptocurrency-vertical
- https://labs.f-secure.com/blog/catching-lazarus-threat-intelligence-to-real-detection-logic/
- https://labs.f-secure.com/blog/catching-lazarus-threat-intelligence-to-real-detection-logic-part-two/
- https://www.welivesecurity.com/2020/11/16/lazarus-supply-chain-attack-south-korea/
- https://www.hvs-consulting.de/lazarus-report/
- https://www.sentinelone.com/blog/12-months-of-fighting-cybercrime-sentinellabs-2020-review/
- https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/
- https://us-cert.cisa.gov/ncas/alerts/aa21-048a
- https://securelist.ru/lazarus-threatneedle/100591/
- https://0xthreatintel.medium.com/internals-of-lazarus-operation-dream-job-7ced9fc7da3e
- https://blog.google/threat-analysis-group/update-campaign-targeting-security-researchers/
- https://www.welivesecurity.com/2021/04/08/are-you-afreight-dark-watch-out-vyveva-new-lazarus-backdoor/
Тактики из MITRE ATT&CK, использованные группой
| ID | Название | Описание |
|---|---|---|
| Resource Development | ||
| T1583.001 | Acquire Infrastructure: Domains | Группа Lazarus регистрировала домены для серверов C2, а также для распространения вредоносных программ под видом легального ПО, как в случае AppleJeus |
| T1583.006 | Acquire Infrastructure: Web Services | Для распространения вредоносных программ группа Lazarus использовала аккаунты в различных сервисах, таких как Github и LinkedIn |
| T1584.004 | Compromise Infrastructure: Server | Группа Lazarus часто взламывала легальные сайты с помощью общедоступных уязвимостей, а затем размещала там свои C2-серверы без вмешательства в обычное поведение сайта |
| T1587.001 | Develop Capabilities: Malware | Группа Lazarus разработала и использовала множество собственных вредоносных программ |
| T1588.003 | Obtain Capabilities: Code Signing Certificates | Группа Lazarus приобретала сертификаты со слабой степенью верификации владельца, а также воровала сертификаты производителей ПО для подписи своих вредоносных программ |
| T1588.004 | Obtain Capabilities: Digital Certificates | Группа Lazarus приобретала SSL-сертификаты со слабой степенью верификации владельца |
| Initial Access | ||
| T1133 | External Remote Services | Группа Lazarus использовала уязвимость в шлюзе VPN для заражения сети шифровальщиком VHD |
| T1189 | Drive-by Compromise | Группа Lazarus доставляла различное ВПО жертвам через взломанные легитимные сайты |
| T1190 | Exploit Public-Facing Application | Группа Lazarus использовала уязвимость в шлюзе VPN для заражения сети шифровальщиком VHD |
| T1195.002 | Compromise Software Supply Chain | Для доставки своего вредоносного ПО группа Lazarus использовала необычный механизм компрометации цепочки поставок, используя легитимное южнокорейское программное обеспечение и цифровые сертификаты, украденные у двух разных компаний |
| T1566 | Phishing | Группа Lazarus активно и убедительно использовала социальную инженерию. В некоторых случаях, когда у жертвы отсутствовала необходимая программа или вредоносный файл блокировался защитными решениями, злоумышленники предлагали другой вариант вредоносного файла и подробно объясняли, как его запустить |
| T1566.001 | Phishing: Spearphishing Attachment | Группа Lazarus атаковала жертв с помощью целевых фишинговых писем, содержащих вредоносные документы Microsoft Word и Hangul Office. Некоторые письма содержали файлы ISO, содержащие фишинговый PDF-документ и модифицированную программу просмотра PDF, содержащую вредоносный компонент |
| T1566.002 | Phishing: Spearphishing Link | Группа Lazarus распространяла вредоносную программу AppleJeus при помощи фишинговых писем, содержащих ссылки на сайт, где предлагалось скачать легитимную программу для торговли криптовалютой, содержащую вредоносный компонент |
| T1566.003 | Phishing: Spearphishing via Service | Группа Lazarus получала первоначальный доступ к целевой организации, отправив фишинговый документ системному администратору через его личный аккаунт в LinkedIn, используя специально подготовленный LinkedIn-аккаунт, выглядящий как настоящий аккаунт менеджера по персоналу. Документ маскировался под объявление о вакансии. Также с этой целью использовались WhatsApp, Telegram и Github |
| Execution | ||
| T1047 | Windows Management Instrumentation | Группа Lazarus применяла вредоносную программу SierraAlfa, которая использует утилиту командной строки wmic, входящую в состав Windows Management Instrumentation, для запуска себя в целевой системе во время перемещения внутри периметра |
| T1059.001 | Command and Scripting Interpreter: PowerShell | Группа Lazarus использовала PowerShell для загрузки вредоносной нагрузки и выполнения других команд |
| T1059.003 | Command and Scripting Interpreter: Windows Command Shell | Группа Lazarus применяла вредоносные программы, которые используют командную строку cmd.exe для выполнения команд на компьютерах жертв. Также группа Lazarus применяла вредоносные программы, которые используют механизм удаления своих бинарных файлов из системы с помощью BAT-файла |
| T1059.004 | Command and Scripting Interpreter: Unix Shell | Группа Lazarus применяла вредоносные программы, которые используют командную оболочку Linux для выполнения команд на компьютерах жертв |
| T1059.005 | Command and Scripting Interpreter: Visual Basic | Группа Lazarus использовала VBScript для выполнения различных команд, включая сбор информации о компьютере-жертве и скачивание вредоносной нагрузки |
| T1569.002 | System Services: Service Execution | Группа Lazarus использовала различные вредоносные программы, которые исполняются в качестве служб |
| T1106 | Native API | Группа Lazarus применяла вредоносные программы, которые используют API-вызов CreateProcessA для исполнения файлов |
| T1203 | Exploitation for Client Execution | Группа Lazarus использовала различные уязвимости, такие как Adobe Flash CVE-2018-4878, для исполнения вредоносного кода |
| T1204.002 | User Execution: Malicious File | Группа Lazarus пыталась заставить пользователей запустить вредоносное вложение Microsoft Word, доставленное при помощи целевой фишинговой рассылки. Также для запуска вредоносной программы AppleJeus группа Lazarus использовала инсталлятор, похожий на легитимный и имеющий валидную цифровую подпись |
| Persistence | ||
| T1098 | Account Manipulation | Группа Lazarus использовала вредоносную программу WhiskeyDelta-Two, которая содержит функцию, пытающуюся переименовать учетную запись администратора |
| T1053.004 | Scheduled Task/Job: Launchd | Группа Lazarus для установки вредоносной программы AppleJeus, использованной для атак на криптовалютные биржи, применяла скрипт, который помещал вредоносный plist файл в директорию /Library/LaunchDaemons для закрепления в системе в качестве демона |
| T1136.001 | Create Account: Local Account | В некоторых случаях группа Lazarus создавала локальные учетные записи администратора с именем admin$, чтобы скрыть их от вывода команды net user. Учетные записи создавались удаленно с помощью команды sc |
| T1542.003 | Pre-OS Boot: Bootkit | Группа Lazarus использовала вредоносную программу WhiskeyAlfa-Three, которая изменяет нулевой сектор основной загрузочной записи (MBR), чтобы гарантировать, что она сохранится даже после выключения компьютера жертвы |
| T1543.003 | Create or Modify System Process: Windows Service | Группа Lazarus использовала вредоносные программы, которые устанавливаются на компьютер жертвы в качестве служб с помощью утилиты sc.exe |
| T1543.004 | Create or Modify System Process: Launch Daemon | Группа Lazarus для установки вредоносной программы AppleJeus, использованной для атак на криптовалютные биржи, применяла скрипт, который помещал вредоносный plist-файл в директорию /Library/LaunchDaemons, а затем вызывал программу Updater с параметром CheckUpdate для запуска вредоносного демона, не дожидаясь перезагрузки |
| T1547 | Boot or Logon Autostart Execution | Группа Lazarus использовала вредоносные программы, которые регистрировали себя в качестве службы или создавали запланированную задачу с целью запуска при входе пользователя |
| T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder | Группа Lazarus использовала вредоносные программы, которые пытаются закрепиться в системе, сохраняя себя в папке автозагрузки меню «Пуск» или добавляя соответствующее значение в ключ реестра Run |
| T1547.005 | Boot or Logon Autostart Execution: Security Support Provider | Группа Lazarus устанавливала в систему вредоносную SSP DLL, которая затем загружалась в адресное пространство процесса LSA, что давало злоумышленникам привилегии SYSTEM и закрепление в системе |
| T1547.009 | Boot or Logon Autostart Execution: Shortcut Modification | Группы Lazarus использовала вредоносные программы, которые закрепляются в системе, создавая ярлык в папке автозагрузки пользователя |
| Privilege Escalation | ||
| T1068 | Exploitation for Privilege Escalation | Для повышения привилегий группа Lazarus использовала эксплойты. Например, группа Lazarus применяла эксплойт Eternal Blue, эксплуатировавший уязвимость MS17-010, для повышения привилегий и запуска шифровальщика WannaCry на удаленном компьютере |
| Defense Evasion | ||
| T1027 | Obfuscated Files or Information | Группы Lazarus применяла вредоносные программы, которые использовали различные типы шифрования и кодирования в своих вредоносных файлах, включая AES, Caracachs, RC4, простой XOR с константой. Например, группа Lazarus использовала вредоносную программу Torisma, которая шифрует файл конфигурации алгоритмом VEST |
| T1027.002 | Obfuscated Files or Information: Software Packing | Группа Lazarus использовала различные пакеры, включая Themida и Enigma Protector |
| T1036.003 | Masquerading: Rename System Utilities | Группа Lazarus использовала вредоносные программы, которые копируют и переименовывают системные утилиты, чтобы избежать обнаружения использования данных утилит |
| T1036.004 | Masquerading: Masquerade Task or Service | Группа Lazarus применяла имплант, включающий в себя самописный PE-загрузчик с именем Security Package, который подключался в процесс lsass.exe через ключ реестра, а также вредоносные программы, которые используют имена и пути, схожие с системными или легитимными сервисами |
| T1055.001 | Process Injection: Dynamic-link Library Injection | Группа Lazarus использовала вредоносные программы, которые выполняют рефлексивную DLL-инъекцию |
| T1055.002 | Process Injection: Portable Executable (PE) Injection | Группа Lazarus применяла вредоносные программы, которые используют инжект вредоносной нагрузки в системные процессы |
| T1070.001 | Indicator Removal on Host: Clear Windows Event Logs | Для снижения вероятности обнаружения группа Lazarus удаляла доказательства своей активности из журнала событий Windows, когда они перемещались в сети жертвы. Например, из журнала безопасности Windows удалялись события с кодами 4778 и 4624, относящиеся к скомпрометированным учетным записям |
| T1070.004 | Indicator Removal on Host: File Deletion | Группа Lazarus использовала вредоносные программы, которые удаляют файлы различными способами, включая утилиту del и самоудаляющиеся скрипты для удаления бинарных файлов вредоносных программ с компьютера жертвы. Также группа Lazarus использовала безопасное удаление файлов |
| T1070.006 | Indicator Removal on Host: Timestomp | Группа Lazarus использовала вредоносные программы, которые меняют временные метки последней записи указанного ключа реестра или даты создания файла на случайную дату или же копируют временную метку легитимных файлов (таких как calc.exe или mspaint.exe) |
| T1112 | Modify Registry | Группа Lazarus применяла вредоносные программы, которые редактируют реестр, используя API-вызовы или помощью утилиты reg.exe. Также группа Lazarus использовала вредоносные программы, такие как ThreatNeedle и Vyveva, которые хранят конфигурацию в реестре |
| T1220 | XSL Script Processing | Группа Lazarus использовала вредоносные .lnk-файлы, которые создавали запланированную задачу, настроенную на периодическое выполнение удаленного сценария XSL через скопированный файл WMIC.exe |
| T1127.001 | Trusted Developer Utilities Proxy Execution: MSBuild | Группа Lazarus распространяла бэкдор ThreatNeedle с помощью вредоносных проектов Visual Studio, которые включали предварительно скомпилированные вредоносные файлы. Для запуска этих файлов использовался механизм событий, выполняющихся перед сборкой и хранящихся в файле .vcxproj в каталоге решений Visual Studio |
| T1134.002 | Create Process with Token | Группа Lazarus использовала кейлоггер KiloAlfa, который получает токены пользователя из интерактивных сеансов, чтобы выполнить себя с помощью вызова API CreateProcessAsUserA в контексте этого пользователя |
| T1140 | Deobfuscate/Decode Files or Information | Группа Lazarus использовала вредоносные программы, которые шифруют вредоносную нагрузку, а также шифруют или кодируют строки и имена импортируемых строк |
| T1218.001 | Signed Binary Proxy Execution: Compiled HTML File | Группа Lazarus использовала файлы CHM для скрытной доставки вредоносной нагрузки |
| T1218.005 | Signed Binary Proxy Execution: Mshta | Группа Lazarus использовала утилиту mshta.exe для запуска вредоносных скриптов и загрузки программ |
| T1218.011 | Signed Binary Proxy Execution: Rundll32 | Группа Lazarus использовала вредоносные DLL, которые запускались через rundll32.exe с указанием экспортируемой функции и параметров запуска |
| T1548 | Abuse Elevation Control Mechanism | Группа Lazarus использовала вредоносные программы, маскирующиеся под легитимный установщик, который запрашивает повышение прав у пользователя, после чего выполняет необходимые злоумышленнику действия в системе |
| T1562.001 | Impair Defenses: Disable or Modify Tools | Группа Lazarus использовала вредоносные программы, которые пытаются завершить различные процессы, связанные с антивирусами. Кроме того, группа Lazarus использовала вредоносные программы, которые отключают службы Microsoft Windows System Event Notification и Alerter, а также Windows Defender и Credential Guard |
| T1562.004 | Impair Defenses: Disable or Modify System Firewall | Группа Lazarus использовала вредоносные программы, которые изменяют настройки брандмауэра Windows, чтобы разрешить входящие соединения или полностью отключить брандмауэр, с помощью утилиты netsh |
| T1564.001 | Hide Artifacts: Hidden Files and Directories | Группа Lazarus устанавливала своим файлам и директориям атрибуты ""Системный"" и ""Скрытый"" в Windows, а также присваивала файлам имена с префиксом ""."", чтобы скрыть их от файлового менеджера Finder и терминала в MacOS. Также группа Lazarus прятала свое ВПО в скрытых папках по пути ""C:\ProgramData"" |
| T1497 | Virtualization/Sandbox Evasion | Группа Lazarus применяла вредоносные программы, которые обходят автоматический анализ, используя в качестве параметра ключ шифрования. В случае отсутствия необходимого параметра вредоносная программа либо не запускается, либо запускает код легитимной программы |
| Credential Access | ||
| T1003.001 | OS Credential Dumping: LSASS Memory | Группа Lazarus использовала утилиту Mimikatz, в том числе собственную модифицированную версию, для извлечения учетных данных пользователей Windows, вошедших в систему, и кражи паролей, хранящихся в браузерах. Для снятия дампа группа Lazarus также применяла утилиту procdump из пакета SysInternals. Кроме того, злоумышленники включали устаревший протокол WDigest, что приводило к тому, что пароли начинали храниться в открытом виде в памяти процесса LSASS |
| T1110.003 | Brute Force: Password Spraying | Группа Lazarus применяла вредоносные программы, которые пытаются подключиться к общим ресурсам Windows для перемещения внутри периметра, используя сгенерированный список имен пользователей, который основан на перестановках имени пользователя Administrator и слабых паролях |
| T1552.001 | Unsecured Credentials: Credentials In Files | Группа Lazarus анализировала домашние каталоги администраторов, файлы конфигурации программного обеспечения и скрипты настройки и обслуживания, чтобы найти валидные учетные данные от доменных учетных записей |
| Discovery | ||
| T1007 | System Service Discovery | Группа Lazarus собирала информацию о зарегистрированных сервисах |
| T1010 | Application Window Discovery | Группа Lazarus использовала вредоносную программу IndiaIndia, которая получает и отправляет на свой сервер C2 заголовок окна для каждого запущенного процесса, а также кейлоггер KilaAlfa, который сообщает заголовок окна, с которым работает пользователь |
| T1012 | Query Registry | Группа Lazarus использовала вредоносную программу IndiaIndia, которая проверяет ключи реестра в HKCU и HKLM, чтобы определить наличие определенных программ, включая SecureCRT, служб терминалов, RealVNC, TightVNC, UltraVNC, Radmin, mRemote, TeamViewer, FileZilla, pcAnyware и удаленного рабочего стола, а также вредоносную программу, которая проверяет наличие следующего ключа реестра: HKEY_CURRENT_USER\Software\Bitcoin\Bitcoin-Qt. Кроме того, группа Lazarus использовала утилиту reg.exe для получения информации из реестра |
| T1016 | System Network Configuration Discovery | Группа Lazarus использовала вредоносные программы, которые получают и отправляют на свой сервер C2 различную информацию о конфигурации сетевой карты, включая IP-адрес, шлюзы, маску подсети, информацию DHCP и доступность WINS |
| T1033 | System Owner/User Discovery | Группа Lazarus собирала информацию о пользователях скомпрометированной машины, а также использовала вредоносные программы, которые перечисляют вошедших в систему пользователей |
| T1057 | Process Discovery | Группа Lazarus использовала вредоносные программы, которые собирают список запущенных процессов в системе-жертве, а также время работы процессов, и отправляют его на свой сервер C2. Для получения информации о процессах группа Lazarus использовала утилиту tasklist.exe |
| T1069.002 | Permission Groups Discovery: Domain Groups | Группа Lazarus использовала общеизвестную утилиту AdFind для перечисления всех подразделений, пользователей, компьютеров и групп в Active Directory |
| T1082 | System Information Discovery | Группа Lazarus использовала вредоносные программы, которые собирают информацию о типе и версии ОС жертвы, а также об имени компьютера жертвы и процессоре, дисковом пространстве и отправляют ее на свой сервер C2. Для этих целей группа Lazarus также использовала утилиту systeminfo.exe |
| T1083 | File and Directory Discovery | Группа Lazarus применяла вредоносные программы, которые используют общую функцию для идентификации целевых файлов по их расширению. Кроме того, группа Lazarus использовала вредоносные программы, которые могут перечислять файлы и каталоги, а также собирать информацию обо всех дисках |
| T1087.001 | Account Discovery: Local Account | Группа Lazarus собирала информацию о пользователях, в том числе посредством команд net user и net group |
| T1087.002 | Account Discovery: Domain Account | Группа Lazarus использовала общеизвестную утилиту AdFind для перечисления всех подразделений, пользователей, компьютеров и групп в Active Directory |
| T1124 | System Time Discovery | Группа Lazarus использовала вредоносные программы, которые могут получать текущее системное время и временную зону и отправлять их на сервер C2 |
| T1135 | Network Share Discovery | Группа Lazarus использовала утилиты SMBMap и SMB scanner для обнаружения общих папок внутри сети и проверки прав локального администратора для ранее собранных учетных данных |
| Lateral Movement | ||
| T1021.001 | Remote Services: Remote Desktop Protocol | Группа Lazarus использовала вредоносные программы, которые используют RDP для распространения внутри сети |
| T1021.002 | Remote Services: SMB/Windows Admin Shares | Группа Lazarus использовала скомпрометированные легитимные привилегированные аккаунты для дальнейшего продвижения по сети. Также группа Lazarus применяла вредоносные программы, которые обращаются к общему ресурсу ADMIN$ через SMB для перемещения внутри периметра |
| T1021.005 | Remote Services: Virtual Network Computing (VNC) | Группа Lazarus использовала скомпрометированные аккаунты для перемещения по сети с помощью VNC |
| T1053.005 | Scheduled Task/Job: Scheduled Task | Для продвижения по сети группа Lazarus использовала планировщик задач. Запланированные задачи использовались для изменения ключа реестра HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages на удаленном компьютере |
| Collection | ||
| T1005 | Data from Local System | Группа Lazarus использовала вредоносные программы, которые сохраняют информацию, собранную о жертве, включая указанные каталоги с машины жертвы. Также группа Lazarus использовала утилиту wevtutil для экспорта журналов событий безопасности Windows |
| T1025 | Data from Removable Media | Группа Lazarus использовала бэкдор Vyveva, который может уведомлять свой сервер C2 о вновь вставленных съемных носителях и собирать с них файлы |
| T1039 | Data from Network Shared Drive | Группа Lazarus получала списки каталогов для определения содержимого общих ресурсов, доступных с текущего хоста. После кражи списков каталогов собирались только определенные файлы, которые представлялись ценными. Одной из целей были данные администраторов и ИТ-отделов |
| T1056.001 | Input Capture: Keylogging | Группа Lazarus использовала вредоносную программу KiloAlfa, которая содержит функцию кейлоггера |
| T1074.001 | Data Staged: Local Data Staging | Группа Lazarus использовала вредоносную программу IndiaIndia, которая сохраняет информацию, собранную о жертве, в файл, который сохраняется в каталоге %TEMP%, затем сжимается, зашифровывается и загружается на командный сервер |
| T1560 | Archive Collected Data | Группа Lazarus использовала вредоносную программу RomeoDelta, которая архивирует указанные каталоги в формате .zip, шифрует файл .zip и загружает его на свой сервер C2 |
| T1560.001 | Archive Collected Data: Archive via Utility | Группа Lazarus использовала WinRar для упаковки данных в зашифрованные архивы. Часто архивирование выполнялось непосредственно в системе, в которой хранятся сами данные |
| T1560.002 | Archive Collected Data: Archive via Library | Группа Lazarus использовала вредоносные программы, которые сжимают собранные данные с помощью библиотеки Zlib и отправляют на сервер C2 |
| T1560.003 | Archive Collected Data: Archive via Custom Method | Группа Lazarus использовала вредоносные программы, которые перед эксфильтрацией шифруют данные с помощью простой операции XOR |
| Command And Control | ||
| T1001.003 | Data Obfuscation: Protocol Impersonation | Группа Lazarus применяла вредоносные программы, которые используют уникальную форму шифрования связи, известную как FakeTLS, которая имитирует TLS, но использует другой метод шифрования, избегая атак типа «человек посередине» на SSL-шифрование |
| T1008 | Fallback Channels | Группа Lazarus использовала вредоносную программу SierraAlfa, которая отправляет данные на один из жестко закодированных серверов C2, выбранный случайным образом, и, если передача не удалась, выбирает новый сервер C2 для повторной попытки передачи |
| T1026 | Multiband Communication | Группа Lazarus применяла вредоносные программы, которые используют несколько каналов для C2, таких как вредоносная программа RomeoWhiskey-Two, которая использует два канала: канал удаленного доступа, который разбирает данные в формате дейтаграмм, и канал прокси, который формирует виртуальные сессии типа точка-точка |
| T1043 | Commonly Used Port | Группа Lazarus применяла вредоносные программы, которые используют список упорядоченных номеров портов для выбора порта для трафика C2, который включает часто используемые порты, такие как 443, 53, 80, 25 и 8080 |
| TA0011 | Command and Control | Группа Lazarus использовала бэкдоры, которые получают команды от злоумышленников с командного сервера |
| T1071.001 | Application Layer Protocol: Web Protocols | Группа Lazarus применяла вредоносные программы, которые связываются с сервером C2 по протоколам HTTP и HTTPS. Серверы C2 часто размещаются на скомпрометированных легитимных сайтах |
| T1090.001 | Proxy: Internal Proxy | Группа Lazarus использовала прокси-серверы внутри сети. Внутренний прокси-сервер также использовался для кражи данных из изолированного сегмента сети компании-жертвы, не имевшего прямого соединения с интернетом |
| T1090.002 | Proxy: External Proxy | Группа Lazarus использовала несколько прокси, чтобы скрыть сетевой трафик от жертв |
| T1105 | Ingress Tool Transfer | Группа Lazarus применяла вредоносные программы, которые могут загружать и запускать бинарные файлы со своего сервера C2. Также группа Lazarus использовала бэкдоры, которые загружают дополнительные модули с сервера C2 |
| T1132.001 | Data Encoding: Standard Encoding | Группа Lazarus применяла вредоносные программы, которые кодируют данные с помощью Base64 |
| T1571 | Non-Standard Port | Группа Lazarus применяла вредоносные программы, которые используют список упорядоченных номеров портов для выбора порта для трафика C2, создавая несоответствия между портами и протоколами |
| T1572 | Protocol Tunneling | Группа Lazarus использовала собственный инструмент туннелирования сетевого трафика, в котором для создания скрытого канала связи применена нестандартная процедура шифрования |
| T1573.001 | Encrypted Channel: Symmetric Cryptography | Группа Lazarus использовала вредоносные программы, которые шифруют трафик C2 с помощью симметричных алгоритмов. Группа Lazarus применяла как собственные или редкие алгоритмы вроде Caracachs, так и известные алгоритмы вроде RC4 и их модификации |
| Exfiltration | ||
| T1573.002 | Encrypted Channel: Asymmetric Cryptography | Группа Lazarus использовала бэкдор Vyveva, который соединяется с C2 при помощи сети Tor, использующей ассиметричные алгоритмы шифрования |
| T1041 | Exfiltration Over C2 Channel | Группа Lazarus использовала вредоносные программы, которые эксфильтрацию по каналу C2 |
| T1048 | Exfiltration Over Alternative Protocol | Для кражи данных группа Lazarus также использовала сайты, которые были заранее взломаны, откуда затем данные выкачивались из сети Tor |
| T1048.003 | Exfiltration Over Alternative Protocol: Exfiltration Over Unencrypted/Obfuscated Non-C2 Protocol | Группа Lazarus использовала вредоносную программу SierraBravo-Two, которая отправляла сообщение электронной почты через SMTP, содержащее информацию о недавно зараженных жертвах |
| Impact | ||
| T1485 | Data Destruction | Группа Lazarus использовала специальную функцию безопасного удаления для перезаписи содержимого файла данными из кучи |
| T1486 | Data Encrypted for Impact | Группа Lazarus использовала различные шифровальщики, включая WannaCry, Hemres и VHD |
| T1489 | Service Stop | Группа Lazarus останавливала службу MSExchangeIS, чтобы сделать содержимое Exchange недоступным для пользователей |
| T1491.001 | Defacement: Internal Defacement | Группа Lazarus демонстрировала угрожающие изображения после того, как выводила систему из строя при помощи очистки структуры диска |
| T1529 | System Shutdown/Reboot | Группа Lazarus перезагружала системы после уничтожения файлов и очистки MBR на зараженных системах |
| T1561.001 | Disk Wipe: Disk Content Wipe | Группа Lazarus использовала вредоносное ПО, такое как WhiskeyAlfa, для перезаписи первых 64 МБ каждого диска с помощью статических и случайных буферов. Затем аналогичный процесс использовался для очистки содержимого логических дисков и, наконец, попытки стереть каждый байт каждого сектора на каждом диске. WhiskeyBravo может быть использовано для перезаписи первых 4,9 МБ физических дисков. WhiskeyDelta может перезаписать первые 132 МБ или 1,5 МБ каждого диска случайными данными из кучи |
| T1561.002 | Disk Wipe: Disk Structure Wipe | Группа Lazarus использовала вредоносную программу SHARPKNOT, которая перезаписывает и удаляет основную загрузочную запись (MBR) на машине жертвы. Атакующие использовали вайпер, стирающий MBR, как минимум с 2009 года |
