На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети "Интернет", находящихся на территории Российской Федерации)

Свежие комментарии

  • Misha Glusch
    молодцы белоруссы, поучится нужноМоделирование бое...
  • Misha Glusch
    выжечь эту цыганскую вотчинуРумыния – южный б...
  • Александр Глущенко
    а почему не должно быть ?  👇 Даже у арабов естьОдиозный проект Биби

Очередной привет от Северной Кореи

Хакеры из Северной Кореи взломали тайваньскую компанию CyberLink, известного производителя мультимедийного ПО. Как пишут в СМИ, северокорейские хакеры внедрили вредоносный код в один из инсталляторов CyberLink, распространяемый через официальные каналы обновления. Это позволило заразить более 100 компьютеров по всему миру, в том числе в США, Канаде и Японии.

По данным Microsoft, за атакой стоит группировка Lazarus, также известная как ZINC и Labyrinth Chollima. Она специализируется на кибершпионаже и, вероятно, действует в интересах правительства, уже более 10 лет нацеливаясь на крупные международные компании.

В продукт CyberLink было внедрено ПО под названием LambLoad. После запуска инсталлятора на компьютере LambLoad проверяет наличие в системе таких антивирусов, как CrowdStrike, FireEye и Tanium. Если они не обнаружены, программа подключается к одному из трех командных серверов и загружает следующую стадию вредоноса.

Вторая стадия маскируется под PNG-файл, внутри которого вместо изображения содержится зловредный код. LambLoad выгружает его, расшифровывает и запускает на выполнение. Таким образом угроза минует файловую систему, что затрудняет её обнаружение и устранение.

По словам Microsoft, такая техника очень характерна для Lazarus. Они особенно часто используют похожие методы в атаках на криптовалютные сервисы. Группировка стоит за крупнейшим в истории киберинциденте с криптовалютой в 2022 году - тогда с блокчейна Ronin Network было похищено цифровых активов на 2 миллиарда долларов.

Пока команда Microsoft не обнаружила признаков активности хакеров на зараженных машинах. Но обычно Lazarus использует свое ПО именно для кибершпионажа, оставаясь в системе в течение длительного времени после взлома. Поэтому можно предположить, что они пользуются ситуацией для сбора ценных данных и подготовки к будущим атакам.

Группировке приписывают такие громкие кибератаки, как взлом Sony Pictures в 2014 году и распространение вымогателя WannaCry, нанесшего ущерб на сотни миллионов долларов в 2017 году.

Правительство США неоднократно вводило санкции против Lazarus и двух других хакерских групп из Северной Кореи - Bluenoroff и Andariel. Сейчас за любую информацию об их деяниях обещано вознаграждение до 5 миллионов долларов.

Что касается текущей атаки, Microsoft проинформировала CyberLink о взломе их инфраструктуры и помогла устранить уязвимость. Также пользователям антивируса Defender были разосланы предупреждения об угрозе.

Пока неясно, удалось ли хакерам похитить какие-либо конфиденциальные данные или нанести другой ущерб CyberLink и ее клиентам. Однако учитывая масштабы инцидента, последствия могут быть серьезными.

CyberLink пока не дает комментариев журналистам.

securitylab.ru

Хакеры из Северной Кореи взломали тайваньскую компанию CyberLink, известного производителя мультимедийного ПО. Злоумышленники внедрили вредоносный код в один из инсталляторов CyberLink, распространяемый через официальные каналы обновления. Это позволило заразить более 100 компьютеров по всему миру, в том числе в США, Канаде и Японии.

По данным Microsoft, за атакой стоит группировка Lazarus, также известная как ZINC и Labyrinth Chollima. Она специализируется на кибершпионаже и, вероятно, действует в интересах правительства, уже более 10 лет нацеливаясь на крупные международные компании.

В продукт CyberLink было внедрено ПО под названием LambLoad. После запуска инсталлятора на компьютере LambLoad проверяет наличие в системе таких антивирусов, как CrowdStrike, FireEye и Tanium. Если они не обнаружены, программа подключается к одному из трех командных серверов и загружает следующую стадию вредоноса.

Вторая стадия маскируется под PNG-файл, внутри которого вместо изображения содержится зловредный код. LambLoad выгружает его, расшифровывает и запускает на выполнение. Таким образом угроза минует файловую систему, что затрудняет её обнаружение и устранение.

По словам Microsoft, такая техника очень характерна для Lazarus. Они особенно часто используют похожие методы в атаках на криптовалютные сервисы. Группировка стоит за крупнейшим в истории киберинциденте с криптовалютой в 2022 году - тогда с блокчейна Ronin Network было похищено цифровых активов на 2 миллиарда долларов.

Пока команда Microsoft не обнаружила признаков активности хакеров на зараженных машинах. Но обычно Lazarus использует свое ПО именно для кибершпионажа, оставаясь в системе в течение длительного времени после взлома. Поэтому можно предположить, что они пользуются ситуацией для сбора ценных данных и подготовки к будущим атакам.

Группировке приписывают такие громкие кибератаки, как взлом Sony Pictures в 2014 году и распространение вымогателя WannaCry, нанесшего ущерб на сотни миллионов долларов в 2017 году.

Правительство США неоднократно вводило санкции против Lazarus и двух других хакерских групп из Северной Кореи - Bluenoroff и Andariel. Сейчас за любую информацию об их деяниях обещано вознаграждение до 5 миллионов долларов.

Что касается текущей атаки, Microsoft проинформировала CyberLink о взломе их инфраструктуры и помогла устранить уязвимость. Также пользователям антивируса Defender были разосланы предупреждения об угрозе.

Пока неясно, удалось ли хакерам похитить какие-либо конфиденциальные данные или нанести другой ущерб CyberLink и ее клиентам. Однако учитывая масштабы инцидента, последствия могут быть серьезными.

CyberLink пока не дает комментариев журналистам.

Подробнее: https://www.securitylab.ru/news/543947.php

Ссылка на первоисточник

Картина дня

наверх