Специалисты по информационной безопасности зафиксировали атаку на российские компании со стороны хакеров, базирующихся в Северной Корее. Как сообщает Check Point, это первое за историю наблюдений скоординированное нападение на российские структуры из КНДР.
Отслеживающие хакерскую активность эксперты считают, что за атаками стоит подразделение Bluenoroff северокорейской группы Lazarus. Это ответвление Lazarus занимается операциями, связанными с извлечением денежной прибыли. Так, в 2014 году Bluenoroff атаковала серверы Sony Pictures Entertainment и украла 81 миллион долларов у Центрального банка Бангладеш.
Заражение компьютеров происходит по следующей цепочке. Жертва получает ZIP-файл, который содержит два документа: PDF с «приманкой» и вредоносный документ Word с макросами. Вредонос загружается через Dropbox, после чего на устройстве активируется скрипт VBS, который загружал с сервера CAB-файл. В процессе атак хакеры сократили цепочку и усовершенствовали систему таким образом, что макросы Word сами подгружали на компьютер бэкдор.
На причастность Lazarus к атакам указывает троян KEYMARBLE, которым пользуются хакеры. О нем говорится в прошлогоднем отчете Министерства внутренней безопасности США и Федерального бюро расследований. Они пришли к выводу, что варианты бэкдора используются правительством КНДР.