Команда Kaspersky GReAT обнаружила сложные целевые атаки на бизнес в Южной Корее с использованием уязвимостей в браузерных расширениях
Эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») выявили новую сложную целевую кампанию группы Lazarus. Злоумышленники атаковали организации в Южной Корее, используя сочетание двух основных методов: сначала они заражали системы через легитимные новостные сайты (тактика watering hole), а затем эксплуатировали уязвимость в широко используемом южнокорейском ПО для передачи файлов Innorix Agent. Кампания получила название Операция SyncHole. Атакам подверглись как минимум шесть компаний из Южной Кореи — в сферах программного обеспечения, ИТ, финансов, производства полупроводников и телекоммуникаций. При этом количество жертв может быть больше. Программное обеспечение, использованное в этой кампании, обновлено, уязвимости устранены.
В ходе анализа кампании Операция SyncHole эксперты Kaspersky GReAT также обнаружили в Innorix Agent ещё одну уязвимость нулевого дня, которой не успели воспользоваться злоумышленники. Брешь потенциально давала возможность осуществлять загрузку произвольных файлов в Innorix Agent. «Лаборатория Касперского» оперативно сообщила о проблемах Агентству по интернету и кибербезопасности Южной Кореи (KrCERT/CC), а также вендору. После были выпущены необходимые обновления, а найденной уязвимости присвоен идентификатор KVE-2025-0014.
С чего начинались атаки. Группа Lazarus использовала в качестве приманки заражённые новостные сайты, которые посещает большое количество человек (данная техника называется watering hole). Чтобы отобрать среди них интересующих злоумышленников пользователей, атакующие фильтровали трафик с помощью скрипта на стороне сервера и выборочно перенаправляли посетителей на подконтрольные сайты. После, в результате ряда технических действий, запускалась цепочка заражения.
Использование уязвимости в южнокорейском ПО. На ранних этапах атаки злоумышленники эксплуатировали уязвимость первого дня* в Innorix Agent — это обязательное программное обеспечение для выполнения ряда финансовых и административных операций на южнокорейских сайтах. Расчёт атакующих заключался в следующем: это ПО установлено на множестве корпоративных и частных компьютеров в Южной Корее, и любой пользователь с уязвимой версией может стать потенциальной жертвой. Эксплуатируя уязвимость в Innorix Agent, злоумышленники смогли продвигаться по внутренней сети после проникновения в неё, а затем установить дополнительные вредоносные программы на целевой хост. В результате группа Lazarus смогла запустить свои зловреды, в том числе бэкдор ThreatNeedle и загрузчик LPEClient, которые существенно расширили возможности злоумышленников во внутренних сетях организаций.
Как обнаружили атаки. Ещё до того, как в Innorix Agent были обнаружены уязвимости, эксперты «Лаборатории Касперского» зафиксировали использование ThreatNeedle и SIGNBT в корпоративной сети одной из южнокорейских компаний. Вредоносное ПО было запущено в памяти легитимного процесса SyncHost.exe. Зловред работал как подпроцесс Cross EX, легитимного южнокорейского программного обеспечения, которое помогает обеспечивать работу защитных инструментов в различных браузерных средах.
Анализ показал, что похожий способ использовался для атак ещё на пять организаций в Южной Корее. В каждом случае цепочка заражения, предположительно, запускалась за счёт некой уязвимости в Cross EX. Можно предположить, что именно это и стало отправной точкой заражения в рамках всей кампании. Недавно KrCERT опубликовал уведомление о безопасности, подтверждающее наличие уязвимости в Cross EX, которая позднее была устранена.
«В кибербезопасности важен проактивный подход: углублённый анализ атаки позволил нам выявить ещё одну уязвимость — причём до того, как появились признаки её активного использования злоумышленниками. Раннее обнаружение подобных угроз помогает предотвратить масштабную компрометацию систем», — комментирует Суджон Рю (Sojun Ryu), эксперт Kaspersky GReAT.
«Анализ атак указывает на серьёзную проблему в области кибербезопасности: использование сторонних плагинов для браузеров и вспомогательных инструментов значительно повышает вероятность атаки, особенно в инфраструктурах, где применяется устаревшее ПО или софт с региональной спецификой. Такие компоненты часто используют в работе повышенные привилегии, остаются в памяти и тесно взаимодействуют с процессами браузера, что делает их привлекательной и зачастую более лёгкой мишенью для злоумышленников, чем современные браузеры», — объясняет Игорь Кузнецов, директор Kaspersky GReAT.
Узнать больше о новой кампании Lazarus можно в отчёте на Securelist.ru: https://securelist.ru/operation-synchole-watering-hole-attacks-by-lazarus/112426/.
Решения «Лаборатории Касперского» детектируют вредоносное ПО, использованное в рамках этой кампании, как Trojan.Win64.Lazarus.*, Trojan.Win32.Lazarus.*, MEM:Trojan.Win32.Cometer.gen, MEM:Trojan.Win32.SEPEH.gen, Trojan.Win32.Manuscrypt.*, Trojan.Win64.Manuscrypt.*, Trojan.Win32.Zenpak.*
Чтобы защититься от целевых атак Lazarus или других групп, «Лаборатория Касперского» рекомендует организациям:
- регулярно обновлять программное обеспечение на всех устройствах, чтобы предотвращать проникновение злоумышленников во внутреннюю сеть с использованием уязвимостей;
- проводить аудит безопасности сетей и активов, чтобы вовремя обнаруживать и устранять слабые места внутри периметра или сети организации;
- использовать комплексное решение для обеспечения кибербезопасности, например из линейки Kaspersky Symphony. Продукты, входящие в её состав, обеспечивают видимость угроз и защиту в режиме реального времени, предоставляют возможности уровня EDR и XDR для исследования и реагирования на них. Они подходят для организаций любого размера и отрасли;
- предоставлять ИБ-специалистам доступ к свежей информации о киберугрозах, с которыми может столкнуться организация. Сервисы Kaspersky Threat Intelligence предоставляют подробные и актуальные сведения на всех этапах цикла управления инцидентами и помогают своевременно выявлять риски.
* Уязвимость, для которой уже выпустили исправление, но многие пользователи пока его не установили.
О Kaspersky GReAT
Глобальный центр исследования и анализа угроз Kaspersky GReAT основан в 2008 году. В его задачи входит поиск и исследование наиболее сложных атак, кампаний кибершпионажа, новых методов заражения, эксплойтов, использующих уязвимости нулевого дня. Сегодня в команде центра более 30 экспертов, работающих по всему миру — в Европе, России, Южной Америке, Азии, на Ближнем Востоке. Они известны своими достижениями в расследовании наиболее сложных атак, включая кампании кибершпионажа и киберсаботажа.
