Vijesti

Lazarus grupa cilja IT i odbrambeni sektor novim malwareom CookiePlus

Redakcija

Redakcija

2 min read
cyber kriminal, maliciozni akter, cyber napadač
Ilustracija - Cyber kriminal (Foto: AI)

Lazarus grupa, poznata po svojim vezama sa državom, pokrenula je novu fazu napada koristeći sofisticirani malware CookiePlus. Prema izvještajima sigurnosnih stručnjaka iz Kasperskyja, ovaj malware je dio šire kampanje poznate pod nazivom "Operation DreamJob", koja traje već pet godina. Iako je kampanja prvobitno bila usmjerena na kripto kompanije, njen fokus se proširio na IT sektor i kompanije povezane sa odbrambenom industrijom.

Mete Lazarus Grupe: Od kripto kompanija do nuklearne industrije

Ciljevi Lazarus grupe nisu ograničeni samo na IT kompanije. Nedavni cyber napadi obuhvatili su organizaciju u Brazilu iz nuklearne industrije i neidentifikovanu organizaciju u Vijetnamu. Ovi napadi predstavljaju ozbiljnu prijetnju kritičnoj infrastrukturi i globalnoj sigurnosti.

Napadi su karakteristični po višefaznom pristupu, gdje se koriste napredne tehnike phishinga i kompleksan malware. Preko LinkedIn platforme, napadači su uspješno penetrirali mreže ciljanih kompanija, predstavljajući se kao potencijalni poslodavci.

Višefazni napad i uloga CookiePlus malwarea

Operacija je podijeljena u nekoliko faza, koristeći različite vrste malwarea za ostvarenje svojih ciljeva:

  1. Downloader: U prvoj fazi korišten je modifikovani AmazonVNC.exe fajl za pokretanje Ranid Downloadera, koji je zatim izvukao ključne komponente iz datoteka.
  2. Loader: U drugoj fazi, maliciozni vnclang.dll fajl je služio za učitavanje MISTPEN malwarea, koji je omogućavao daljnje preuzimanje zlonamjernih alata poput RollMid i nove verzije LPEClient-a.
  3. CookiePlus: Kao završni korak, instaliran je CookiePlus malware, čija je svrha dugoročna prisutnost na sistemu.

Kako CookiePlus funkcioniše?

CookiePlus je otvoreni softver koji je prilagođen za prikupljanje podataka sa zaraženih sistema. Ovaj malware prikuplja informacije poput imena računara, ID-ova procesa i putanja datoteka. Štaviše, omogućava "uspavljivanje" glavnog modula kako bi ostao neprimijećen na sistemima duže vrijeme.

Posebna opasnost ovog malwarea leži u njegovoj sposobnosti da mijenja konfiguracijske datoteke i time prilagođava shemu izvršavanja. Ova fleksibilnost omogućava Lazarus grupi da ostane prisutna na sistemima i neometano krade osjetljive podatke tokom dužeg perioda.

Operacija DreamJob: Dugoročna strategija Lazarus grupe

Prema analizi stručnjaka, Lazarus koristi CookiePlus kao ključni alat u svojoj strategiji trajne infiltracije. Ova strategija omogućava kontinuirano praćenje i eksfiltraciju podataka, koji se mogu koristiti za buduće operacije ili prodaju na crnom tržištu.

Zaključak: Potreba za jačanjem cyber sigurnosti

Napadi Lazarus grupe podsjećaju na važnost unapređenja sigurnosnih protokola u IT i odbrambenim sektorima. Organizacije trebaju ulagati u napredne sisteme detekcije prijetnji i obuku zaposlenika kako bi smanjile rizik od phishing napada i malwarea poput CookiePlus-a.

Globalna sigurnost zahtijeva kolektivni napor u borbi protiv sofisticiranih prijetnji kao što su one koje dolaze od Lazarus grupe. Samo proaktivnim pristupom i usvajanjem najboljih praksi IT sigurnosti možemo spriječiti dalje širenje ovakvih prijetnji.

Pročitaj više

Anthropic logo i digitalna pozadina

Izvještaj kompanije Anthropic: Kako cyber kriminalci koriste Claude za napredne cyber operacije

Izvještaj kompanije Anthropic otkriva kako cyber  kriminalci sistematski zloupotrebljavaju njihov AI model Claude za izvođenje sofisticiranih cyber napada, što predstavlja opasnu novu liniju u zloupotrebi umjetne inteligencije. Sigurnosni tim Anthropic-a identifikovao je više slučajeva u kojima su napadači pretvarali Claude iz pomoćnika u aktivnog učesnika u kriminalnim operacijama. Među otkrivenim