Группа Lazarus, высококвалифицированный и продолжительно действующий участник угрозы, связанный с Северной Кореей, была замечена при атаках на уязвимые версии серверов Microsoft Internet Information Services (IIS) в качестве начального пути взлома для развертывания вредоносного программного обеспечения на целевых системах. Центр экстренного реагирования на безопасность AhnLab (ASEC) сообщил, что группа использует техники боковой загрузки DLL для развертывания вредоносной библиотеки msvcr100.dll, предназначенной для расшифровки закодированной полезной нагрузки, которая затем выполняется в памяти. Цепочка атак также включала эксплуатацию устаревшего плагина открытого исходного кода для Notepad++ под названием Quick Color Picker для доставки дополнительного вредоносного программного обеспечения с целью облегчения кражи учетных данных и бокового движения. Недавно Министерство финансов США наложило санкции на четыре организации и одного индивида, причастных к вредоносной кибердеятельности и схемам сбора средств, которые направлены на поддержку стратегических приоритетов Северной Кореи. Сюда включены Пхеньянский университет автоматизации, Бюро технической разведки и его подчиненная киберединица, 110-й исследовательский центр, компания Chinyong Information Technology Cooperation и гражданин Северной Кореи по имени Ким Санг Ман. Считается, что группа Lazarus находится под управлением Бюро технической разведки, которое контролирует развитие атакующих кибертактик и инструментов Северной Кореи. Правительство Южной Кореи предупредило, что известно, что в этой стране генерируются незаконные доходы от рабочей силы квалифицированных работников IT, которые выдают себя за фиктивные личности, чтобы получить работу в технологическом секторе и секторе виртуальной валюты по всему миру. Эти работники преднамеренно замаскировывают свою личность, местоположение и национальность, обычно используя фальшивые персоны, прокси-счета, украденные личности и поддельные или подделанные документы для подачи заявок на работу в этих компаниях. Компании должны активно контролировать аномальные отношения выполнения процессов и принимать предварительные меры для предотвращения проведения группой угрозы таких действий, как эксфильтрация информации и боковое движение.
Source: Hackernews
Чтобы смягчить эти потенциальные угрозы, важно внедрить дополнительные меры кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сделать это самостоятельно, используя check.website.