Lazarus grupa cilja IT i odbrambeni sektor novim malwareom CookiePlus

Redakcija
Objavio Redakcija 3 min za čitanje
Ilustracija - Cyber kriminal (Foto: AI)

Lazarus grupa, poznata po svojim vezama sa državom, pokrenula je novu fazu napada koristeći sofisticirani malware CookiePlus. Prema izvještajima sigurnosnih stručnjaka iz Kasperskyja, ovaj malware je dio šire kampanje poznate pod nazivom “Operation DreamJob”, koja traje već pet godina. Iako je kampanja prvobitno bila usmjerena na kripto kompanije, njen fokus se proširio na IT sektor i kompanije povezane sa odbrambenom industrijom.

Mete Lazarus Grupe: Od kripto kompanija do nuklearne industrije

Ciljevi Lazarus grupe nisu ograničeni samo na IT kompanije. Nedavni cyber napadi obuhvatili su organizaciju u Brazilu iz nuklearne industrije i neidentifikovanu organizaciju u Vijetnamu. Ovi napadi predstavljaju ozbiljnu prijetnju kritičnoj infrastrukturi i globalnoj sigurnosti.

Napadi su karakteristični po višefaznom pristupu, gdje se koriste napredne tehnike phishinga i kompleksan malware. Preko LinkedIn platforme, napadači su uspješno penetrirali mreže ciljanih kompanija, predstavljajući se kao potencijalni poslodavci.

Višefazni napad i uloga CookiePlus malwarea

Operacija je podijeljena u nekoliko faza, koristeći različite vrste malwarea za ostvarenje svojih ciljeva:

  1. Downloader: U prvoj fazi korišten je modifikovani AmazonVNC.exe fajl za pokretanje Ranid Downloadera, koji je zatim izvukao ključne komponente iz datoteka.
  2. Loader: U drugoj fazi, maliciozni vnclang.dll fajl je služio za učitavanje MISTPEN malwarea, koji je omogućavao daljnje preuzimanje zlonamjernih alata poput RollMid i nove verzije LPEClient-a.
  3. CookiePlus: Kao završni korak, instaliran je CookiePlus malware, čija je svrha dugoročna prisutnost na sistemu.

Kako CookiePlus funkcioniše?

CookiePlus je otvoreni softver koji je prilagođen za prikupljanje podataka sa zaraženih sistema. Ovaj malware prikuplja informacije poput imena računara, ID-ova procesa i putanja datoteka. Štaviše, omogućava “uspavljivanje” glavnog modula kako bi ostao neprimijećen na sistemima duže vrijeme.

Posebna opasnost ovog malwarea leži u njegovoj sposobnosti da mijenja konfiguracijske datoteke i time prilagođava shemu izvršavanja. Ova fleksibilnost omogućava Lazarus grupi da ostane prisutna na sistemima i neometano krade osjetljive podatke tokom dužeg perioda.

Operacija DreamJob: Dugoročna strategija Lazarus grupe

Prema analizi stručnjaka, Lazarus koristi CookiePlus kao ključni alat u svojoj strategiji trajne infiltracije. Ova strategija omogućava kontinuirano praćenje i eksfiltraciju podataka, koji se mogu koristiti za buduće operacije ili prodaju na crnom tržištu.

Zaključak: Potreba za jačanjem cyber sigurnosti

Napadi Lazarus grupe podsjećaju na važnost unapređenja sigurnosnih protokola u IT i odbrambenim sektorima. Organizacije trebaju ulagati u napredne sisteme detekcije prijetnji i obuku zaposlenika kako bi smanjile rizik od phishing napada i malwarea poput CookiePlus-a.

Globalna sigurnost zahtijeva kolektivni napor u borbi protiv sofisticiranih prijetnji kao što su one koje dolaze od Lazarus grupe. Samo proaktivnim pristupom i usvajanjem najboljih praksi IT sigurnosti možemo spriječiti dalje širenje ovakvih prijetnji.

Podijeli ovaj članak