Hackeri Lazarus APT teraz používajú obrázky BMP na skrytie škodlivého softvéru RAT

Zistilo sa, že spear-phishingový útok, ktorý vykonal severokórejský aktér hrozieb zameraný na jeho južný náprotivok, ukryl svoj škodlivý kód v bitmapovom (.BMP) obrazovom súbore, aby vypustil trójsky kôň so vzdialeným prístupom (RAT), ktorý je schopný ukradnúť citlivé informácie.

Výskumníci z Malwarebytes pripísali útok skupine Lazarus na základe podobnosti s predchádzajúcimi taktikami, ktoré prijal protivník, a uviedli, že phishingová kampaň začala distribúciou e-mailov so škodlivým dokumentom, ktorý identifikovali 13. apríla.

„Herec použil šikovnú metódu na obídenie bezpečnostných mechanizmov, do ktorých vložil svoj škodlivý súbor HTA ako komprimovaný súbor zlib do súboru PNG, ktorý bol potom počas behu dekomprimovaný konverziou do formátu BMP,“ uviedli vedci z Malwarebytes. .

“Odstránená užitočná časť bola zavádzač, ktorý dekódoval a dešifroval užitočnú časť druhej fázy do pamäte. Užitočná časť druhej fázy má schopnosť prijímať a vykonávať príkazy/kód shellu, ako aj vykonávať exfiltráciu a komunikáciu s príkazovým a riadiacim serverom.”

Tento návnadový dokument (v kórejčine) vytvorený 31. marca 2021 má byť formulárom žiadosti o účasť na veľtrhu v jednom z juhokórejských miest a vyzýva používateľov, aby pri jeho prvom otvorení povolili makrá, len aby vykonali útok. kód, ktorý spúšťa infekčný reťazec a nakoniec zahodí spustiteľný súbor s názvom „AppStore.exe“.

Užitočné zaťaženie potom pokračuje v extrakcii zašifrovaného druhého stupňa užitočného zaťaženia pripojeného k sebe, ktorý je dekódovaný a dešifrovaný v čase spustenia, po čom nasleduje nadviazanie komunikácie so vzdialeným serverom na prijímanie ďalších príkazov a prenos výsledkov týchto príkazov späť na server.

„Hrozba Lazarus je jedným z najaktívnejších a najsofistikovanejších severokórejských aktérov hrozieb, ktorý sa v posledných rokoch zameral na niekoľko krajín vrátane Južnej Kórey, USA a Japonska,“ uviedli vedci. “Lazarus je známy tým, že vo svojich operáciách využíva nové techniky a vlastné sady nástrojov na zvýšenie efektivity svojich útokov.”