Хакеры из Северной Кореи впервые в истории напали на РФ
Программисты зафиксировали первую в истории двух стран атаку хакеров из Северной Кореи на сервера российских организаций. Сообщается, что все действия интернет-злоумышленников были четко скоординированы.
Эксперты, которые отслеживали активность хакеров, полагают, что заказчиком атаки выступает подразделение Bluenoroff, входящее в состав крупной группы Lazarus (КНДР). Эта структура отвечает за операции, связанные с извлечением финансовой прибыли. Например, пять лет назад была совершена атака на сервера крупной компании Sony, также у ЦБ Бангладеш пропал 81 миллион долларов.
Все ПК заражаются по определенной цепочке. Сначала пользователь получает файл формата ZIP, содержащий два разных документа. Одним из них является PDF с «приманкой», а вторым документ MS Word с макросами. Загрузка вредоносного файла производится посредством Dropbox, после чего на девайсе открывается скрипт VBS. Хакеры за все это время существенно уменьшили и оптимизировали цепочку, поэтому макросы текстового редактора самостоятельно подгружали бэдкор на ПК.
Факт причастности к инциденту Lazarus подтверждает наличие трояна с кодовым названием KEYMARBLE.
Эксперты, которые отслеживали активность хакеров, полагают, что заказчиком атаки выступает подразделение Bluenoroff, входящее в состав крупной группы Lazarus (КНДР). Эта структура отвечает за операции, связанные с извлечением финансовой прибыли. Например, пять лет назад была совершена атака на сервера крупной компании Sony, также у ЦБ Бангладеш пропал 81 миллион долларов.
Все ПК заражаются по определенной цепочке. Сначала пользователь получает файл формата ZIP, содержащий два разных документа. Одним из них является PDF с «приманкой», а вторым документ MS Word с макросами. Загрузка вредоносного файла производится посредством Dropbox, после чего на девайсе открывается скрипт VBS. Хакеры за все это время существенно уменьшили и оптимизировали цепочку, поэтому макросы текстового редактора самостоятельно подгружали бэдкор на ПК.
Факт причастности к инциденту Lazarus подтверждает наличие трояна с кодовым названием KEYMARBLE.