گزارش ترندمیکرو درباره
هکرهای گروه لازاروس «Lazarus» وابسته به دولت کره شمالی، یکی از تهدیدهای پیشرفته و مستمر در دنیای امنیت دیجیتال شناخته میشود. لازاروس اتهامات مختلفی مانند ایجاد و انتشار باجافزار واناکرای، حمله سایبری به شرکت سونی، حمله به حسابهای بانکی در شبکه SWIFT و... را در کارنامه خود دارد.
فعالیتهای این گروه که برای یک مدت کوتاه کمرنگ شده بود، بهتازگی با حملات پیشرفته جدید مجددا از سر گرفته شده است. براساس خبرهای منتشر شده، تنها در هفته گذشته مشخص شده است که گروه لازاروس میلیونها دلار از دستگاههای خودپرداز در کشورهای آسیایی و آمریکای لاتین به سرقت برده است.
به گفته شرکت ترندمیکرو، دربپشتی BKDR_BINLODR.ZNFJ-A متعلق به این گروه بوده که از آن برای نفوذ و حمله به موسسات مالی استفاده شده است.
براساس گزارش ترندمیکرو، مهاجمان با استفاده از این دربپشتی، اقدام به بارگزاری فایلهای DLL مخرب مختلفی میکنند تا بتوانند دسترسیهای کنترلی را بهمنظور انجام حملات اصلی خود بدست آوردند. دسترسیهایی مانند:
- جمعآوری اطلاعات فایلها، فولدرها و درایوها
- دانلود بدافزارهای جدید
- اجرا و راهاندازی برنامههای جدید و همینطور خاتمه پردازش یک برنامه
- دستکاری اطلاعات مربوط به تنظیمات
- حذف کردن فایلها
- تزریق کد به فآایندهای در حال اجرا
- استفاده از پروکسی
- دسترسی شل
- دسترسی به حالت غیرفعال سامانهها (Passive mode)
به اعتقاد محققان شرکت ترندمیکرو، پیچیدگی و تواناییهای این قابلیتها، مشکلات بسیاری را برای مجموعههای مورد هدف این حملات ایجاد میکند. از آنجایی که این حملات از پیچیدگیهای خاص برخوردارند، راهحلهای خنثیسازی آنها نیز پیچیده است.
مطالب مرتبط:
- هکرهای APT38، پشتیبان حملات کره شمالی به موسسات مالی
توضیحات بیشتر در:
- Lazarus Continues Heists, Mounts Attacks on Financial Organizations in Latin America