Северокорейские киберпреступники атаковали оборонные и аэрокосмические предприятия в США. Злоумышленники отправляли сотрудникам военной промышленности поддельные предложения о работе с целью взлома компьютерных сетей.

Как сообщили специалисты из компании McAfee, кибератаки начались в конце марта 2020 года и продолжались до мая. Вредоносная кампания, получившая название «Operation North Star», связана с северокорейской киберпреступной группировкой Lazarus (она же Hidden Cobra).

В ходе атак преступники отправляли фишинговые электронные письма, побуждавшие получателей открывать поддельные документы с предложениями о работе. Как отметили эксперты, злоумышленники использовали технику внедрения шаблона (template injection). Файл .docx представляет собой ZIP-файл, содержащий несколько частей. Используя технику внедрения шаблона, злоумышленник помещает ссылку в файл шаблона в одном из файлов .XML. По ссылке загружался файл шаблона (DOTM) с удаленного сервера. Некоторые из этих файлов шаблонов переименовываются в файлы JPEG на удаленном сервере, чтобы избежать любых подозрений. Файлы шаблонов содержат код макроса, написанный на языке Visual Basic, который загружает DLL-имплант в систему жертвы. Вредоносные DLL-файлы, доставленные через поддельные документы, хакеры использовали для осуществления кибершпионажа.

Злоумышленники всегда пытаются остаться незамеченными в ходе атак, поэтому часто наблюдается такая техника, как имитация User-Agent, присутствующего в системе. Например, использование одной и той же строки User-Agent из конфигураций web-браузера жертвы позволяет избежать обнаружения и замаскировать трафик. В данном случае преступники с помощью Windows API ObtainUserAgentString получили User-Agent и использовали это значение для соединения с C&C-сервером.

По словам экспертов, хакеры обеспечивали себе персистентность на системе путем доставления файла LNK в папку автозагрузки.

Источник: securitylab.ru