#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитики по кибербезопасности обнаружили взломанные приложения, зараженные вредоносными программами, включая новое семейство вредоносных программ для macOS. Вредоносное ПО использовало различные методы, такие как скрытие скриптов Python в текстовых записях DNS и использование агентов запуска, для заражения и компрометации компьютеров пользователей. Вредоносная программа нацелилась на популярные криптовалютные кошельки, похитив конфиденциальную информацию и отправив ее на сервер управления. Кампания все еще продолжается и развивается.
-----

Взломанные приложения, зараженные троянским прокси, были обнаружены на пиратских сайтах.

Предварительно взломанные приложения были переупакованы в PKG-файлы со встроенным троянским прокси и постустановочным скриптом.

Было обнаружено новое семейство вредоносных программ для macOS, нацеленных на пользователей более новых версий операционной системы на процессорах Intel и компьютерах Apple silicon.

Вредоносная программа использовала программу под названием Activator и установщик Python, а также файл Mach-O с именем "tool".

Активатор использовал AuthorizationExecuteWithPrivileges для запроса пароля администратора и установки Python, если он не найден.

Вредоносная программа исправила загруженное приложение, чтобы оно выглядело так, как будто оно работает, но на самом деле оно было отключено.

Вредоносная программа обратилась к серверу управления (C2) за зашифрованным сценарием.

URL-адрес C2 был получен путем объединения слов из жестко закодированных списков и добавления случайной последовательности в качестве домена третьего уровня.

Вредоносная программа сделала запрос DNS, чтобы получить текстовую запись для домена, и собрала полное сообщение.

Основной целью вредоносного ПО было выполнение команд с помощью закодированных скриптов Python, полученных с сервера C2.

Вредоносная программа не получала никаких команд в ходе расследования, что указывает на продолжающуюся кампанию.

Вредоносная программа скомпрометировала кошельки Exodus и Bitcoin-Qt, похитив пользовательские данные и отправив их в C2.

Злоумышленники использовали взломанные приложения для получения привилегий пользователя во время установки.

Вредоносная программа использовала хитроумные методы, такие как сокрытие скриптов Python внутри доменных TXT-записей на DNS-серверах.

Вредоносная программа добавляла себя в startup agents для доставки обновлений и действовала как бэкдор с правами администратора.

#ParsedReport #CompletenessMedium
22-01-2024

Pakistan-based Threat Actor Targets Indians with Fake Loan Android Application

https://www.cyfirma.com/outofband/pakistan-based-threat-actor-targets-indians-with-fake-loan-android-application

Report completeness: Medium

Threats:
Screengrab

Victims:
Individuals in desperate need of quick loans

Industry:
Financial, Government

Geo:
Pakistan, India, Indian

TTPs:
Tactics: 3
Technics: 2

IOCs:
Domain: 2
Hash: 2

Soft:
Android, Instagram

Algorithms:
sha256

#ParsedReport #ExtractedSchema

Classified images:
dump: 1, code: 3, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что неизвестный исполнитель угроз использует вредоносные приложения для Android, замаскированные под кредитные приложения, для нацеливания на людей, которым срочно нужны деньги. Эти исполнители угроз заманивают жертв обещаниями быстрых займов и минимальных формальностей, но как только приложение установлено, они получают доступ к личным данным жертвы. Компания CYFIRMA, занимающаяся кибербезопасностью, расследовала это дело и обнаружила, что приложение минимизировало разрешения, чтобы избежать обнаружения, и использовало методы социальной инженерии для сбора дополнительной информации. Рост вымогательства с помощью вредоносных кредитных приложений представляет серьезную проблему, особенно для уязвимых лиц, отчаянно нуждающихся в финансовой поддержке.
-----

Компания CYFIRMA, занимающаяся кибербезопасностью, недавно обнаружила закономерность, при которой неизвестные злоумышленники используют вредоносное ПО для Android для нацеливания на людей, которые срочно нуждаются в деньгах. Эти финансово мотивированные злоумышленники заманивают жертв обещаниями быстрых займов и минимальными формальностями. Как только жертва устанавливает поддельное кредитное приложение, ей предлагается предоставить разрешения и предоставить свои личные данные, включая селфи, для целей "Знай своего клиента" (KYC). Затем приложение предоставляет жертве список сумм кредита и, выбрав одну из них, запрашивает небольшую комиссию, которую необходимо внести для получения кредита. На данный момент исполнители угроз имеют доступ к основным данным жертвы, государственному удостоверению личности, селфи, а также к данным из их списка контактов и текстовым сообщениям.

В ходе своего расследования CYFIRMA проанализировала вредоносный пакет Android, используемый в схеме вымогательства. Они обнаружили, что приложение использовало минимальные разрешения, чтобы избежать обнаружения антивирусным программным обеспечением и платформами онлайн-сканирования. Ограничив свое исследование страницей регистрации, CYFIRMA избежала раскрытия своей собственной информации. Они также обнаружили доказательства использования социальной инженерии злоумышленниками для сбора дополнительной информации. Это привело к обнаружению неизвестной компании в Пакистане, которая нанимала людей на определенные должности, предоставляя им ресурсы для распространения вредоносных пакетов Android. Затем эти лица вымогали деньги у скомпрометированных жертв. Также были обнаружены связи между субъектом угрозы и частными лицами в Индии, что потенциально объясняет, почему субъект угрозы использовал Единый платежный интерфейс (UPI), способ оплаты, обычно используемый гражданами Индии.

Рост вымогательства с помощью вредоносных кредитных приложений представляет серьезную проблему, особенно для физических лиц, которые могут быть не знакомы с новейшими тактиками, используемыми злоумышленниками. Уязвимые люди, особенно те, кто отчаянно нуждается в финансовой поддержке, часто становятся жертвами подобных видов мошенничества.

Расследование CYFIRMA показало, что исполнитель угрозы намеренно минимизировал разрешения приложений, чтобы обойти антивирусные программы. Они использовали список контактов жертвы и ее селфи-изображение для отправки сообщений с угрозами вымогательства. Это демонстрирует опыт злоумышленника в использовании методов социальной инженерии для организации своей кампании, вместо того чтобы полагаться исключительно на более обнаруживаемое и опасное вредоносное приложение для Android.

#ParsedReport #CompletenessMedium
22-01-2024

Keyhole Analysis. Technical Overview

https://medium.com/walmartglobaltech/keyhole-analysis-60302922aa03

Report completeness: Medium

Threats:
Keyhole_tool
Icedid
Anubis

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1082, T1076, T1059, T1112, T1123, T1125, T1135, T1041, T1005, T1179, have more...

IOCs:
File: 14
Hash: 3
IP: 1
Path: 3
Command: 1

Soft:
Chrome, Internet Explorer

Algorithms:
xor

Win API:
NtCreateUserProcess

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Keyhole - это универсальный компонент, который активно используется вредоносной программой IcedID/Anubis. Он обладает широким спектром возможностей, включая сбор системной информации, операции VNC, манипулирование браузером, поиск файлов и перечисление сетей. Компонент загрузки Keyhole может обрабатывать как PE-файлы, так и версии шеллкода, с алгоритмом декодирования, соответствующим образцу 2017 года. Связь с сервером управления (C2) включает обмен необходимой информацией, и вредоносное ПО может быть активировано с помощью команд powershell или cmd. Однако имеется ограниченная техническая информация о его расширенной функциональности.
-----

Keyhole - это универсальный компонент, активно используемый вредоносной программой IcedID/Anubis, известной своими возможностями VNC/Backconnect. Хотя о некоторых ее функциях сообщалось ранее, имеется ограниченная техническая информация о ее расширенной функциональности.

Основной компонент Keyhole обладает функциональными возможностями, сравнимыми с функциями самого IcedID. Он обладает способностью собирать системную информацию, выполнять операции VNC (виртуальные сетевые вычисления), манипулировать HDESK (обращаться к рабочему столу), устанавливать соединения Socks/Backconnect, выполнять консольные команды с помощью cmd.exe или powershell, вводить explorer.exe , выполнять запросы LDAP, извлекать файлы из зараженных систем, перехватывать профили браузера, удалять профили браузера , манипулировать запущенными браузерами с помощью манипуляций командной строки, проверять наличие веб-камеры, делать снимки с помощью веб-камер, разрешать использование микрофона для приложений через настройки реестра и перечислять серверы и сетевые ресурсы.

Компонент загрузки Keyhole может обрабатывать как PE-файлы, так и версии шеллкода. Его основная функция заключается в декодировании и загрузке основного модуля. Основной модуль Keyhole содержит закодированные строки, а используемый алгоритм декодирования соответствует образцу, наблюдавшемуся в июне 2017 года. После декодирования результирующий двоичный объект служит конфигурацией для основного компонента Keyhole.

Связь с сервером командования и контроля (C2) включает в себя обмен такой информацией, как адрес C2, маркер трафика C2 и номер порта 8080.

Вредоносная программа извлекает основную информацию о зараженной системе, вероятно, для целей профилирования. Она также манипулирует браузерами и использует перехватчики, такие как NtCreateUserProcess, для запуска новых процессов браузера и взаимодействия с ними. Кроме того, Keyhole может внедряться во вновь запущенные процессы explorer.

Чтобы инициировать вредоносные действия, Keyhole можно детонировать с помощью команд powershell или cmd.

Таким образом, Keyhole - это многофункциональный компонент, используемый совместно с вредоносным ПО IcedID/Anubis. Он обладает широким спектром возможностей, включая сбор системной информации, операции VNC, манипулирование браузером, поиск файлов и перечисление сетей. Его компонент загрузки обрабатывает как PE-файлы, так и версии шеллкода с алгоритмом декодирования, который соответствует образцу 2017 года. Связь C2 предполагает существенный обмен информацией, и вредоносное ПО может быть активировано с помощью команд powershell или cmd.

#ParsedReport #CompletenessLow
22-01-2024

Parrot TDS: A Persistent and Evolving Malware Campaign

https://unit42.paloaltonetworks.com/parrot-tds-javascript-evolution-analysis

Report completeness: Low

Threats:
Parrot_tds
Wildfire

Victims:
Multiple global websites across various industries, A compromised website based in brazil

Geo:
Brazilian, Brazil

ChatGPT TTPs:
do not use without manual check
T1189, T1064, T1027, T1505, T1204, T1195

IOCs:
File: 1
Hash: 200

Soft:
WordPress, Joomla

Algorithms:
sha256

Win API:
Pie

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 2, code: 14

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Parrot TDS - это система направления трафика, которая внедряет вредоносные скрипты в существующий код JavaScript на серверах. Внедренный скрипт включает в себя целевой скрипт, который профилирует жертв, и сценарий полезной нагрузки, который направляет их браузеры на вредоносный контент. Идентификаторы Parrot TDS можно идентифицировать по определенным ключевым словам, найденным во встроенном JavaScript. Кампания проводится с 2019 года и со временем эволюционировала. Цепочка атак следует последовательной схеме, при которой скомпрометированные веб-серверы вводят сценарии посадки с ключевыми словами, и если условия выполняются, браузер жертвы запрашивает сервер полезной нагрузки, который возвращает полезную нагрузку JavaScript. Анализ показывает, что существует четыре основных версии сценария посадки и девять версий сценария полезной нагрузки. Кампания нацелена на жертв по всему миру и компрометирует веб-сайты с использованием различных систем управления контентом. Администраторы веб-сайтов могут проверить, были ли их сайты скомпрометированы, выполнив поиск по соответствующим ключевым словам и проведя аудит контента.
-----

Parrot TDS - это система направления трафика, которая активна с октября 2021 года. Она включает внедрение вредоносных скриптов в существующий код JavaScript, размещенный на серверах. Внедренный скрипт состоит из целевого скрипта, который профилирует жертву, и сценария полезной нагрузки, который может перенаправлять браузер жертвы на вредоносный контент. Parrot TDS легко идентифицировать по ключевым словам, найденным во встроенном JavaScript. Кампания проводится как минимум с 2019 года и со временем эволюционировала.

Цепочка атак Parrot TDS следует последовательной схеме. Скомпрометированный веб-сервер внедряет в существующие файлы JavaScript фрагмент целевого кода JavaScript, который содержит ключевые слова, такие как "ndsw" или "ndsj". При выполнении определенных условий браузер жертвы запрашивает сервер полезной нагрузки, который возвращает полезную нагрузку JavaScript, содержащую ключевые слова, такие как "ndsx". Затем скрипт полезной нагрузки может перенаправлять браузер жертвы на вредоносные веб-страницы или вредоносный контент.

Анализ более 10 000 сценариев лендинга Parrot TDS показывает, что четыре версии представляют большую часть собранных данных. В этих версиях используются ключевые слова, такие как "ndsw" или "ndsj", причем в последнем используется больше методов запутывания. Более поздние версии сценария посадки имеют ту же функциональность, что и более ранние версии, но могут иметь незначительные различия в методах запутывания и индексах массивов. С августа 2022 года увеличилось количество сценариев посадки с несколькими строками внедренного кода.

Сценарии полезной нагрузки Parrot TDS, идентифицируемые ключевым словом "ndsx", выпускаются в девяти версиях. Наиболее распространенная версия, V2, является вредоносной, в то время как версия 1 - нет. Различные версии скрипта полезной нагрузки включают запутывание и нацелены на конкретные операционные системы или подключают интерактивные ссылки на целевых страницах.

Кампания Parrot TDS нацелена на жертв по всему миру и компрометирует веб-сайты, использующие различные системы управления контентом, такие как WordPress или Joomla. Администраторы веб-сайтов могут определить, были ли их сайты скомпрометированы, выполнив поиск по соответствующим ключевым словам в содержимом сервера и проведя аудит, чтобы найти любые дополнительные файлы .php.

#ParsedReport #CompletenessLow
22-01-2024

Dark Web Profile: WereWolves Ransomware

https://socradar.io/dark-web-profile-werewolves-ransomware

Report completeness: Low

Threats:
Lockbit

Industry:
Financial

Geo:
German, Russian

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что русскоязычная киберпреступная организация WereWolves Ransomware group стала серьезной угрозой в сфере киберпреступности. Они используют программу-вымогатель LockBit3, применяют тактику двойного вымогательства, нацелены на широкий спектр отраслей и сосредоточены на средних и малых предприятиях и организациях. Их присутствие в Интернете, включая веб-сайт пропаганды и подбора персонала, вызывает вопросы об их деятельности и потенциальных связях с LockBit group. Выбор отраслей предполагает мотивацию, выходящую за рамки финансовой выгоды, и потенциальную возможность значительных операционных и финансовых проблем. Существуют сомнения в подлинности их атак, и необходимы постоянная бдительность и мониторинг, чтобы понять их операции и намерения. Организациям необходимо поддерживать бдительную и адаптивную киберзащиту для смягчения угрозы.
-----

Группа вымогателей WereWolves, русскоязычная киберпреступная организация, появилась недавно и привлекла к себе внимание своим быстрым ростом в сфере киберпреступности. Они используют разновидность программы-вымогателя LockBit3 и применяют тактику двойного вымогательства, шифруя данные и угрожая обнародовать их, если выкуп не будет выплачен. Они нацелились на широкий спектр отраслей и предприятий по всему миру, сосредоточившись в основном на средних и малых предприятиях и организациях.

По состоянию на 9 января 2024 года программа-вымогатель WereWolves нацелилась на 23 жертвы. Их присутствие в Сети примечательно: веб-сайт используется для пропаганды, распространения информации и вербовки. Интересно, что один из их веб-сайтов имеет немецкое название, что поднимает оставшиеся без ответа вопросы об их деятельности и потенциальных связях с LockBit group, поскольку на них перечислены одни и те же жертвы.

Хотя их цели кажутся случайными, выбор отраслей предполагает, что они нацелены на сектора, которые легко атаковать, но которые оказывают сильное воздействие, потенциально вызывая значительные операционные и финансовые проблемы. Это указывает на мотивацию, выходящую за рамки финансовой выгоды, с потенциалом разрушительных последствий в большем масштабе. В отличие от традиционных российских групп вымогателей, они нацелены не только на Россию и бывшие советские страны, но и на страны, близкие к Советскому Союзу.

Существуют сомнения в подлинности атак WereWolves, поскольку проверка или опровержение их деятельности имеет решающее значение для понимания истинной угрозы, которую они представляют. Одновременное проведение шести атак наряду с деятельностью LockBit повышает вероятность связи между этими двумя киберпреступными группами. Постоянная бдительность и мониторинг необходимы для полного понимания операций и намерений оборотней.

Учитывая, что WereWolves - относительно молодая группа, использование ими опасного варианта LockBit Black подчеркивает важность поддержания бдительной и адаптивной киберзащиты для смягчения таких угроз. Даже незначительные инциденты могут привести к дальнейшим кибератакам, что делает крайне важным для организаций оставаться активными в защите своих систем и данных.

#ParsedReport #CompletenessMedium
22-01-2024

Trigona ransomware attackers using Mimic ransomware

https://asec.ahnlab.com/ko/60744

Report completeness: Medium

Threats:
Mimic_ransomware
Trigona
Conti
Remcos_rat
Loveminer
Anydesk_tool
Mimikatz_tool
Trojan/win.generic.r531737
Defendercontrol_tool
Ransomware/win.mimic.c5543473
Filecoder
Trojan/win.agent.c5574264
Trojan/win.agent.c5574265
Malware/mdp.minipulate.m71
Ransom/mdp.decoy.m1171

Victims:
Improper managed ms-sql servers

CVEs:
CVE-2021-40539 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine adselfservice plus (5.7, 5.0, 5.1, 5.2, 5.3, 5.4, 5.5, 5.6, 4.5, 5.8, 6.0, 6.1, 5.0.6)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1210, T1110, T1105, T1105, T1486, T1486, T1003, T1068, T1573, T1021, have more...

IOCs:
Email: 2
Url: 1
File: 12
Path: 12
Hash: 9
IP: 1

Soft:
MS-SQL, Sysinternals

Algorithms:
aes, zip, md5

Languages:
powershell, delphi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что появилась новая активность, связанная с установкой программы-вымогателя Mimic злоумышленниками Trigona. Эти атаки нацелены на неправильно управляемые серверы MS-SQL и продолжаются, по крайней мере, с июня 2022 года. Злоумышленники используют BCP для установки вредоносного кода на серверы, и сходство в таргетинге, методах и примечаниях о выкупе позволяет предположить, что за атаками Trigona и Mimic стоит один и тот же злоумышленник. Основной целью этих атак являются уязвимые серверы MS-SQL, открытые извне, и у злоумышленников есть опыт нацеливания на такие системы. Они также используют такие инструменты, как PowerShell, AnyDesk и Mimikatz, для выполнения своих вредоносных действий. Целью этих атак является шифрование систем и кража конфиденциальной информации с целью получения денежной выгоды. Защита от этих атак включает в себя защиту серверов баз данных, использование сложных паролей, обновление мер безопасности и контроль внешнего доступа через брандмауэры.
-----

Злоумышленники Trigona ransomware устанавливают программу-вымогатель Mimic на серверы MS-SQL.

Нападения продолжаются по меньшей мере с июня 2022 года.

Программа-вымогатель Mimic изначально была установлена с использованием BCP, но позже была обнаружена программа-вымогатель Trigona.

Адреса электронной почты в уведомлениях о выкупе отличаются у двух программ-вымогателей.

Считается, что за атаками программ-вымогателей Trigona и Mimic стоит один и тот же злоумышленник.

Обе программы-вымогатели используют алгоритмы шифрования RSA и AES.

Программа-вымогатель Trigona нацелена на серверы MS-SQL и использует уязвимости, такие как CVE-2021-40539.

Программа-вымогатель Mimic злоупотребляет программой поиска файлов под названием Everything и включает в себя функции программы-вымогателя Conti.

Основной целью являются неправильно управляемые и уязвимые серверы MS-SQL.

Злоумышленники используют команды PowerShell или злоупотребляют SQLPS для загрузки вредоносного ПО.

Вредоносный код, включая программы-вымогатели Trigona, AnyDesk и Mimic, экспортируется с помощью команд BCP.

Злоумышленники-вымогатели Trigona используют Mimikatz для кражи учетных данных.

AnyDesk установлен для удаленного управления зараженными системами.

Злоумышленник использовал безопасный режим и создал вредоносную программу запуска и переадресации портов.

Злоумышленники-вымогатели Trigona все чаще используют в своих атаках имитирующие программы-вымогатели.

Атаки методом перебора и по словарю следует предотвращать, используя сложные пароли.

Регулярное обновление мер безопасности и контроль внешнего доступа через брандмауэры имеют решающее значение.

#ParsedReport #CompletenessLow
22-01-2024

Lazarus DLL-Side Loading (2)

https://asec-ahnlab-com.translate.goog/ko/60470/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp

Report completeness: Low

Actors/Campaigns:
Lazarus

Threats:
Dll_sideloading_technique
Spear-phishing_technique
Supply_chain_technique
Lazarloader

Victims:
Domestic companies, Institutions, Think tanks

TTPs:

ChatGPT TTPs:
do not use without manual check
T1574.002, T1216, T1566.001, T1195

IOCs:
File: 3
Path: 2
Hash: 2

Win API:
GetSystemFirmwareTable

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из текста заключается в том, что компания по кибербезопасности AhnLab Security Intelligence Center (ASEC) обнаружила новый вариант метода атаки с боковой загрузкой DLL, используемого атакующей группой Lazarus. Lazarus, высококвалифицированная и опасная группа продвинутых постоянных угроз (APT), нацелена на различные организации по всему миру. Конкретный вариант предполагает использование обычной программы wmiapsrv.exe, которая загружает модифицированные библиотеки DLL, wbemcomn.dll и netutils.библиотеки dll, действующие как бэкдоры для вредоносных действий. Группа Lazarus применяет целенаправленные подходы и использует системную информацию для расшифровки и выполнения вредоносных действий. Организациям рекомендуется проявлять бдительность в отношении таких угроз.
-----

Аналитический центр безопасности AhnLab (ASEC) недавно обнаружил новый вариант метода атаки с боковой загрузкой DLL, используемого группой атаки Lazarus. Lazarus - это группа продвинутых постоянных угроз (APT), известная тем, что нацелена на различные организации, такие как компании, учреждения и аналитические центры. Открытие было сделано с помощью инфраструктуры AhnLab под названием AhnLab Smart Defense (ASD) 12 января 2024 года.

Загрузка на стороне DLL (T1574.002 Hijack Execution Flow: Загрузка на стороне DLL) - это метод, обычно используемый группой Lazarus на начальных этапах проникновения и выполнения вредоносных программ в своих атаках. Этот метод предполагает размещение обычного приложения и вредоносной библиотеки динамических ссылок (DLL) в одном пути к папке. При запуске приложения вредоносная библиотека DLL выполняется вместе с ним, действуя как форма выполнения вредоносного кода.

Недавно выявленная обычная программа, используемая Lazarus, - это wmiapsrv.exe, законный модуль Microsoft, который загружает wbemcomn.dll. Однако группа Lazarus изменила эту библиотеку DLL, а также включила другую вредоносную библиотеку DLL с именем netutils.dll в том же пути к папке. Эти модифицированные библиотеки DLL служат в качестве бэкдоров, позволяя злоумышленникам выполнять вредоносные действия в скомпрометированной системе.

Wbemcomn.dll , в частности, включает процедуру проверки цели заражения. Эта процедура использует значение результата вызова API GetSystemFirmwareTable, которое содержит уникальную системную информацию. Значение результата затем используется для расшифровки зашифрованной строки, найденной в области ресурсов wbemcomn.dll. Расшифрованное значение соответствует пути к файлу, который необходимо загрузить, что запускает дальнейшие вредоносные действия.

Такой целенаправленный подход указывает на то, что группа Lazarus стремится работать исключительно в определенных системах. Процесс расшифровки основан на результате вызова API GetSystemFirmwareTable, что делает невозможным выполнение предполагаемых вредоносных действий в системах с другой информацией о пути к файлу.

Lazarus известна как одна из самых опасных и глобально активных групп APT. Они используют различные векторы атак, включая точечный фишинг и атаки на цепочки поставок. AhnLab диагностировала этот конкретный вариант вредоносного ПО и советует организациям проявлять бдительность в отношении таких угроз.

Таким образом, было замечено, что Lazarus использует метод боковой загрузки DLL с помощью обычной программы под названием wmiapsrv.exe. Эта программа загружает модифицированные библиотеки DLL, wbemcomn.dll и netutils.dll, которые служат бэкдорами для вредоносных действий. Процедура проверки в wbemcomn.библиотека dll полагается на системную информацию, полученную с помощью вызова API GetSystemFirmwareTable. Группа Lazarus обладает высокой квалификацией и использует несколько векторов атак, что представляет значительную угрозу для организаций по всему миру.