Lazarus экспериментирует с новым шифровальщиком

Группировка Lazarus всегда несколько выделялась среди «коллег по цеху» — она использует методы, характерные для APT-атак, но специализируется на финансовых киберпреступлениях. Недавно наши эксперты обнаружили свежий, до сих пор не исследованный вредонос VHD, с которым Lazarus, по всей видимости, экспериментирует.

Функционально VHD представляет собой достаточно стандартный шифровальщик-вымогатель. Он перебирает все подключенные к компьютеру жертвы диски, качественно шифрует файлы, удаляет все встреченные папки System Volume Information (чем пытается саботировать механизм восстановления данных из точек восстановления Windows). Кроме того, он умеет останавливать процессы, которые потенциально могут защищать важные файлы от модификации (такие как Microsoft Exchange или SQL Server).

Что в нем действительно интересно, так это то, как он попадает на компьютеры жертв. Дело в том, что механизмы его доставки скорее характерны для сложных целевых атак. Недавно наши эксперты исследовали пару случаев, связанных с VHD, и проанализировали схему действий злоумышленников.

Горизонтальное распространение по сети жертвы

В первом инциденте внимание наших экспертов привлек вредоносный код, который отвечал за распространение VHD внутри сети жертвы. Дело в том, что у программы был доступ к спискам IP-адресов компьютеров жертвы, а также набор учетных данных от записей с правами администратора. Эти данные использовались для брутфорс-атак на сервис SMB. Если вредоносу удавалось успешно подключиться через протокол SMB к сетевой папке другого компьютера, то он копировал себя и исполнялся, шифруя и его.

Такая схема действий не слишком характерна для массовых шифровальщиков-вымогателей. Она подразумевает как минимум предварительную разведку инфраструктуры жертвы, а это характерно скорее для APT-кампаний.

Цепочка заражения

В следующий раз наши эксперты из отдела реагирования на киберинциденты встретили этот же шифровальщик в процессе одного из своих расследований и смогли восстановить всю цепочку заражения. По мнению исследователей, она выглядела примерно так:

1. Злоумышленники получили доступ к системе жертвы, проэксплуатировав уязвимый VPN-шлюз.
2. Получили права администратора на скомпрометированной машине.
3. Установили бэкдор.
4. Захватили контроль над сервером Active Directory.
5. Заразили все компьютеры сети своим шифровальщиком VHD при помощи написанного под эту задачу загрузчика. Весь процесс занял у них 10 часов.

Дальнейший анализ применяемых ими инструментов показал, что использованный бэкдор — часть мультиплатформенного фреймворка MATA (некоторые наши коллеги называют его Dacls), о котором мы писали совсем недавно. А следовательно, это очередной инструмент группировки Lazarus.

Подробный технический анализ инструментов злоумышленников и индикаторы компрометации можно найти в статье на блоге SecureList.

Как защитить свою компанию

Образ действий людей, стоящих за шифровальщиком-вымогателем VHD, явно отличается от среднестатистического заражения компании таким ПО. Это не общедоступный на хакерских форумах вредонос, а разработка, сделанная специально под целевые атаки. Приемы, которые злоумышленники используют для проникновения в инфраструктуру жертвы и распространения внутри сети, характерны для продуманных APT-атак.

Но постепенное размытие границ между инструментами для финансовых преступлений и APT-атак говорит о том, что даже не очень большим компаниям имеет смысл применять более продвинутые защитные технологии. В частности, недавно мы представили интегрированное решение, способное взять на себя функции и Endpoint Protection Platform (EPP), и Endpoint Detection and Response (EDR). Узнать о нем подробнее можно на официальной странице решения.