Группировка Lazarus использует новый шифровальщик VHD - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Видео уроки
Наш опрос



Наши новости

       
29-07-2020, 12:01
Группировка Lazarus использует новый шифровальщик VHD - «Новости»
Рейтинг:
Категория: Новости

Специалисты «Лаборатории Касперского» сообщают, что северокорейская хакерская группа Lazarus (она же HIDDEN COBRA, Guardians of Peace, ZINC, NICKEL ACADEMY и APT38) начала использовать новое вымогательское ПО, получившее имя VHD.


С точки зрения функциональности VHD представляет вполне стандартный шифровальщик-вымогатель. Он перебирает все подключенные к компьютеру жертвы диски, шифрует файлы, удаляет все встреченные папки System Volume Information (чем пытается саботировать механизм восстановления данных из точек восстановления Windows). Кроме того, ведонос умеет останавливать процессы, которые потенциально могут защищать важные файлы от модификации (такие как Microsoft Exchange или SQL Server).


Эксперты исследовали два инцидента, связанных с VHD, изучили схему действий злоумышленников и отмечают, что механизмы доставки малвари на машину жертвы скорее характерны для сложных целевых атак.


Так, в первом инциденте внимание специалистов привлек вредоносный код, который отвечал за распространение VHD внутри сети жертвы. У малвари был доступ к спискам IP-адресов компьютеров пострадавших, а также набор учетных данных от записей с правами администратора. Эти данные использовались для брутфорс-атак на сервис SMB. Если вредоносу удавалось успешно подключиться через протокол SMB к сетевой папке другого компьютера, он копировал себя и исполнялся, шифруя информацию и там.


По мнению  специалистов, такая схема действий не слишком характерна для обычных шифровальщиков. Она подразумевает как минимум предварительную разведку инфраструктуры жертвы, а это характерно скорее для APT-кампаний.


Во время изучения второго инцидента эксперты смогли восстановить всю цепочку заражения, которая выглядела примерно так:


  • злоумышленники получили доступ к системе жертвы, проэксплуатировав уязвимый VPN-шлюз;

  • получили права администратора на скомпрометированной машине;

  • установили бэкдор;

  • захватили контроль над сервером Active Directory;

  • заразили все компьютеры сети шифровальщиком VHD при помощи написанного под эту задачу загрузчика. Весь процесс занималу хакеров около 10 часов.



Дальнейший анализ применяемых злоумышленниками инструментов показал, что использованный бэкдор — это часть мультиплатформенного фреймворка MATA (он же Dacls). Исходя из этого, был сделан вывод, что VHD — это очередной инструмент группировки Lazarus.




Специалисты «Лаборатории Касперского» сообщают, что северокорейская хакерская группа Lazarus (она же HIDDEN COBRA, Guardians of Peace, ZINC, NICKEL ACADEMY и APT38) начала использовать новое вымогательское ПО, получившее имя VHD. С точки зрения функциональности VHD представляет вполне стандартный шифровальщик-вымогатель. Он перебирает все подключенные к компьютеру жертвы диски, шифрует файлы, удаляет все встреченные папки System Volume Information (чем пытается саботировать механизм восстановления данных из точек восстановления Windows). Кроме того, ведонос умеет останавливать процессы, которые потенциально могут защищать важные файлы от модификации (такие как Microsoft Exchange или SQL Server). Эксперты исследовали два инцидента, связанных с VHD, изучили схему действий злоумышленников и отмечают, что механизмы доставки малвари на машину жертвы скорее характерны для сложных целевых атак. Так, в первом инциденте внимание специалистов привлек вредоносный код, который отвечал за распространение VHD внутри сети жертвы. У малвари был доступ к спискам IP-адресов компьютеров пострадавших, а также набор учетных данных от записей с правами администратора. Эти данные использовались для брутфорс-атак на сервис SMB. Если вредоносу удавалось успешно подключиться через протокол SMB к сетевой папке другого компьютера, он копировал себя и исполнялся, шифруя информацию и там. По мнению специалистов, такая схема действий не слишком характерна для обычных шифровальщиков. Она подразумевает как минимум предварительную разведку инфраструктуры жертвы, а это характерно скорее для APT-кампаний. Во время изучения второго инцидента эксперты смогли восстановить всю цепочку заражения, которая выглядела примерно так: злоумышленники получили доступ к системе жертвы, проэксплуатировав уязвимый VPN-шлюз; получили права администратора на скомпрометированной машине; установили бэкдор; захватили контроль над сервером Active Directory; заразили все компьютеры сети шифровальщиком VHD при помощи написанного под эту задачу загрузчика. Весь процесс занималу хакеров около 10 часов. Дальнейший анализ применяемых злоумышленниками инструментов показал, что использованный бэкдор — это часть мультиплатформенного фреймворка MATA (он же Dacls). Исходя из этого, был сделан вывод, что VHD — это очередной инструмент группировки Lazarus.

Теги: CSS

Просмотров: 420
Комментариев: 0:   29-07-2020, 12:01
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме:
Комментарии для сайта Cackle