Эксперты связали вымогательское ПО Maui с северокорейской группировкой Andariel

Ср 10 Август 2022 17:26

О возможной связи программы-вымогателя Maui с APT-группировкой Andariel , входящей в состав Lazarus , рассказали специалисты «Лаборатории Касперского». Аналитики компании заметили следы атак Andariel на жертв в Японии, США, Индии, Вьетнаме и России.

По их словам, в своих атаках хакеры использовали модификации вредоноса DTrack , развертывая его примерно за 10 часов до атаки с использованием Maui. Эти модификации имели 84% сходства с образцами вредоносного ПО, которое использовалось во вредоносных кампаниях Andariel.

Кроме того, специалисты «Лаборатории Касперского» проанализировали тактики, техники и процедуры, которые использовались в атаках с использованием Maui и пришли к выводу, что они удивительно похожи на атаки Andariel. Вот список сходств, обнаруженных экспертами:

Использование легитимных прокси и программ для туннелирования после первоначального заражения или для поддержания доступа к системам жертвы;

Использование скриптов Powershell и Bitsadmin для развертки дополнительного вредоносного ПО;

Эксплуатация уязвимых версий публичных онлайн-сервисов (WebLogic и HFS);

Обязательная развертка DTrack в ходе атаки;

Злоумышленники могут месяцами находиться в целевой сети, прежде чем начать атаку;

Напомним, шифровальщик Maui больше года терроризировал американские больницы. Северокорейские государственные хакеры использовали Maui для шифрования серверов, используемых службами здравоохранения.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 255 дней 11 часов 34 минуты 50 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.