گزارش ترندمیکرو درباره

ادامه حملات هکرهای گروه لازاروس به شرکت‌های مالی در آسیا و آمریکای لاتین

هکرهای گروه لازاروس «Lazarus» وابسته به دولت کره شمالی، از جمله مجرمان سایبری سابقه‌دار در حمله به شرکت‌های مالی در کشورهای آسیایی و آمریکای لاتین است که بررسی‌های جدید نشان می‌دهد که این گروه فعالیت‌های خود را از سر گرفته و به اعتقاد محققان، تکنیک‌ها و فنون حملات آن‌ها، پیچیده‌تر از گذشته شده است.

هکرهای گروه لازاروس «Lazarus» وابسته به دولت کره شمالی، یکی از تهدیدهای پیشرفته و مستمر در دنیای امنیت دیجیتال شناخته می‌شود. لازاروس اتهامات مختلفی مانند ایجاد و انتشار باج‌افزار واناکرای، حمله سایبری به شرکت سونی، حمله به حساب‌های بانکی در شبکه SWIFT و... را در کارنامه خود دارد.

فعالیت‌های این گروه که برای یک مدت کوتاه کمرنگ شده بود، به‌تازگی با حملات پیشرفته جدید مجددا از سر گرفته شده است. براساس خبرهای منتشر شده، تنها در هفته گذشته مشخص شده است که گروه لازاروس میلیون‌ها دلار از دستگاه‌های خودپرداز در کشورهای آسیایی و آمریکای لاتین به سرقت برده است.

به گفته شرکت ترندمیکرو، درب‌پشتی BKDR_BINLODR.ZNFJ-A متعلق به این گروه بوده که از آن برای نفوذ و حمله به موسسات مالی استفاده شده است.

براساس گزارش ترندمیکرو، مهاجمان با استفاده از این درب‌پشتی، اقدام به بارگزاری فایل‌های DLL مخرب مختلفی می‌کنند تا بتوانند دسترسی‌های کنترلی را به‌منظور انجام حملات اصلی خود بدست آوردند. دسترسی‌هایی مانند:

- جمع‌آوری اطلاعات فایل‌ها، فولدرها و درایوها
- دانلود بدافزارهای جدید
- اجرا و راه‌اندازی برنامه‌های جدید و همینطور خاتمه پردازش یک برنامه
- دستکاری اطلاعات مربوط به تنظیمات
- حذف کردن فایل‌ها
- تزریق کد به فآایندهای در حال اجرا
- استفاده از پروکسی
- دسترسی شل
- دسترسی به حالت غیرفعال سامانه‌ها (Passive mode)


به اعتقاد محققان شرکت ترندمیکرو، پیچیدگی و توانایی‌های این قابلیت‌ها، مشکلات بسیاری را برای مجموعه‌های مورد هدف این حملات ایجاد می‌کند. از آنجایی که این حملات از پیچیدگی‌های خاص برخوردارند، راه‌حل‌های خنثی‌سازی آن‌ها نیز پیچیده است.

 

 

مطالب مرتبط:

- هکرهای APT38، پشتیبان حملات کره شمالی به موسسات مالی

 

 

توضیحات بیشتر در:

-  Lazarus Continues Heists, Mounts Attacks on Financial Organizations in Latin America