Операция SyncHole: APT-группа Lazarus затягивает в омут

С ноября прошлого года мы отслеживаем новую кампанию группы Lazarus, направленную против организаций в Южной Корее. В ходе атак используется сложная тактика заражения через легитимные сайты (watering hole) и эксплуатации уязвимостей в южнокорейском ПО. Кампания, получившая название «Операция SyncHole», затронула как минимум шесть организаций в сферах программного обеспечения, информационных технологий, финансов, производства полупроводников и телекоммуникаций в Южной Корее. Мы уверены, что на самом деле пострадало гораздо больше компаний. Мы оперативно передали ключевую информацию Агентству по интернету и кибербезопасности Южной Кореи (KrCERT/CC) для быстрого реагирования. На текущий момент подтверждено, что все программное обеспечение, использованное в этой кампании, обновлено до версий с устраненными уязвимостями.

Наши выводы в двух словах:

• По меньшей мере шесть южнокорейских организаций пострадали от атак группы Lazarus с использованием тактики watering hole в сочетании с эксплуатацией уязвимостей.
• Для горизонтального перемещения также использовалась уязвимость первого дня в Innorix Agent.
• Были обнаружены новые разновидности вредоносных утилит Lazarus: ThreatNeedle, загрузчика Agamemnon, wAgent, SIGNBT и COPPERHEDGE — с обновленными возможностями.

Предыстория

Первый случай заражения был обнаружен в ноябре прошлого года, когда мы зафиксировали одну из разновидностей бэкдора ThreatNeedle — одного из флагманских зловредов группы Lazarus, использованного в атаке на южнокорейского разработчика ПО. Мы установили, что зловред работал в памяти легитимного процесса SyncHost.exe в качестве подпроцесса Cross EX — легитимного ПО, разработанного в Южной Корее. Скорее всего, это стало отправной точкой для компрометации еще пяти организаций в Южной Корее. Кроме того, согласно недавнему уведомлению о безопасности, опубликованному на сайте KrCERT, в решении Cross EX были выявлены уязвимости — как раз в период проведения нашего исследования.

В южнокорейском сегменте интернета для доступа к онлайн-банкингу и государственным сайтам требуется установка специального защитного ПО, обеспечивающего такие функции, как защита от кейлоггеров и цифровая подпись на основе сертификатов. Однако подобные программы для реализации своих возможностей постоянно работают в фоновом режиме для взаимодействия с браузером. Группа Lazarus демонстрирует глубокое понимание этой специфики, разработав стратегию атак на южнокорейские организации, которая основана на сочетании уязвимостей в таком ПО с атаками типа watering hole. В 2023 году Национальный центр кибербезопасности Южной Кореи выпустил собственное уведомление по поводу подобных инцидентов, а также опубликовал совместные рекомендации по безопасности в сотрудничестве с правительством Великобритании.

Решение Cross EX обеспечивает работу вышеописанного защитного ПО в различных браузерах и запускается с пользовательскими правами, за исключением первого запуска после установки. Хотя точный способ доставки вредоносного ПО через Cross EX нам неизвестен, мы предполагаем, что в ходе атаки злоумышленникам удалось повысить привилегии, поскольку в большинстве случаев процесс запускался с высоким уровнем целостности. Следующие факты позволили нам прийти к выводу, что в этой операции с большой долей вероятности использовалась уязвимость в ПО Cross EX:

• на зараженных компьютерах была установлена актуальная на момент инцидентов версия Cross EX;
• во всех атакованных организациях наблюдались идентичные цепочки выполнения, начинающиеся из процесса Cross EX;
• случаи внедрения вредоносного кода в процесс SyncHost происходили в течение короткого периода — с ноября 2024 года по февраль 2025 года.

В самой ранней атаке этой операции группа Lazarus также воспользовалась уязвимостью в другом южнокорейском программном обеспечении — Innorix Agent, чтобы обеспечить возможность горизонтального перемещения и установить дополнительное вредоносное ПО на целевые машины. Более того, для эксплуатации этой уязвимости злоумышленники разработали специализированный зловред, автоматизирующий процессы и повторяемые действия. Программа Innorix Agent (версии 9.2.18.450 и ниже) уже эксплуатировалась группой Andariel, однако попавший к нам образец зловреда разрабатывался под более новую версию — 9.2.18.496.

Во время анализа поведения вредоносного ПО мы обнаружили еще одну уязвимость нулевого дня в Innorix Agent, позволяющую загружать произвольные файлы. Мы успели выявить эту уязвимость, прежде чем ею воспользовались злоумышленники в реальных атаках. Мы сообщили о проблеме в Агентство по интернету и кибербезопасности Южной Кореи (KrCERT) и поставщику ПО, после чего для программы было выпущено обновление, устраняющее обе уязвимости.

Установка вредоносного ПО через уязвимости в программных продуктах, разработанных в Южной Корее, является одной из ключевых тактик группы Lazarus при атаках на южнокорейские организации. Ранее, в 2023 году, мы уже публиковали отчет о подобном инциденте, как и ESET и KrCERT.

Первоначальный вектор атаки

Заражение началось после того, как пользователь атакуемой системы посетил несколько южнокорейских новостных сайтов. Вскоре после перехода на один из них устройство было скомпрометировано зловредом ThreatNeedle. Следовательно, этот сайт сыграл ключевую роль в первоначальной доставке бэкдора. В ходе анализа было установлено, что зараженная система обменивалась данными с определенным IP-адресом. Далее мы выяснили, что по этому IP-адресу размещались два домена, которые представляли собой сайты по аренде автомобилей, сделанные наспех с использованием общедоступных HTML-шаблонов.

Интересно, что название первого домена, www.smartmanagerex[.]com, имитирует программное решение от того же поставщика, который распространяет Cross EX. На основе полученных данных мы воссоздали следующую схему атаки.

Поскольку новостные сайты привлекают множество посетителей, группа Lazarus фильтрует их с помощью скрипта на стороне сервера и перенаправляет нужные цели на другой подконтрольный ресурс (T1608.004). Со средней степенью уверенности можно предположить, что целевая страница перенаправления активировала вредоносный скрипт (T1189) для потенциальной проблемы безопасности в ПО Cross EX (T1190). В конечном счете скрипт запускал легитимный исполняемый файл SyncHost.exe и внедрял в него шелл-код, который загружал разновидность ThreatNeedle. Описанная цепочка заражения, включающая внедрение вредоносного кода в SyncHost.exe, была зафиксирована во всех пострадавших организациях, кроме того, мы отмечаем один и тот же эксплойт. Это свидетельствует о том, что группа Lazarus на протяжении нескольких месяцев вела масштабную операцию, направленную против целей в Южной Корее.

Ход операции

Мы разделили эту операцию на два этапа в зависимости от используемого вредоносного ПО. Первый этап включал цепочку выполнения с ПО ThreatNeedle и wAgent. За ним последовал второй этап, в рамках которого применялись SIGNBT и COPPERHEDGE.

На основе этих этапов мы выделили четыре различные цепочки выполнения вредоносного ПО, которые имели место как минимум в шести пострадавших организациях. В первом случае заражения была зафиксирована одна из разновидностей зловреда ThreatNeedle, однако в последующих атаках ее сменил SIGNBT, что ознаменовало переход ко второму этапу операции. Мы считаем, что это связано с тем, насколько оперативно и эффективно мы остановили атаку на первую пострадавшую организацию. В дальнейшем группа Lazarus реализовала три обновленные цепочки заражения с SIGNBT, и мы зафиксировали более широкий круг целей и возросшую частоту атак. Вероятно, злоумышленники поняли, что их тщательно спланированные атаки были раскрыты, и решили в дальнейшем более агрессивно использовать найденную уязвимость.

Вредоносное ПО первого этапа

В первой цепочке заражения использовалось множество обновленных версий вредоносного ПО, ранее применявшегося группой Lazarus.

Разновидность ThreatNeedle

Образец ThreatNeedle, использованный в этой кампании, также упоминается как ThreatNeedleTea в исследовании, опубликованном ESET. Мы полагаем, что это обновление ранней версии ThreatNeedle. Однако в этой атаке применялся модифицированный образец ThreatNeedle с дополнительными функциями.

Эта версия ThreatNeedle состоит из двух компонентов: Loader (загрузчика) и Core (основного модуля). Основной модуль Core считывает пять конфигурационных файлов — от C_27098.NLS до C_27102.NLS — и содержит в общей сложности 37 команд. Загрузчик Loader, в свою очередь, использует только два конфигурационных файла и поддерживает всего четыре команды.

Core получает от командного сервера специальную команду, после чего создается дополнительный файл загрузчика для закрепления в системе. Этот файл может регистрироваться как сервис из группы netsvcs (T1543.003), маскироваться под службу IKEEXT (T1574.001) или регистрироваться как поставщик поддержки безопасности (SSP) (T1547.005). В конечном итоге он запускает компонент ThreatNeedle Loader.

Обновленная версия ThreatNeedle генерирует случайную пару ключей на основе алгоритма Curve25519 (T1573.002), отправляет открытый ключ на командный сервер, а затем получает открытый ключ атакующего. Далее с помощью скалярного умножения сгенерированного закрытого ключа и открытого ключа атакующего создается общий ключ, который используется для шифрования данных по алгоритму ChaCha20 (T1573.001). Передача данных осуществляется в формате JSON.

LPEClient

Инструмент LPEClient используется для профилирования жертв и доставки полезных нагрузок (T1105). Ранее он уже замечался в атаках на оборонных подрядчиков и компании, связанные с криптовалютами. В нашем первом отчете с описанием вредоносного ПО SIGNBT мы отметили, что LPEClient загружается именно через него. Однако в рамках этой кампании мы не наблюдали загрузку LPEClient через SIGNBT — для его доставки применялась только разновидность ThreatNeedle.

Разновидность wAgent

Помимо одной из версий ThreatNeedle, в первой пострадавшей организации была выявлена разновидность wAgent. Этот зловред впервые был описан нами в 2020 году, а схожая его версия также упоминалась в докладе KrCERT, посвященном операции GoldGoblin. Происхождение этого вредоносного ПО все еще остается загадкой, однако нам удалось установить, что загрузчик wAgent маскировался под файл liblzma.dll и запускался с помощью следующей команды: rundll32.exe c:\Programdata\intel\util.dat, afunix 1W2-UUE-ZNO-B99Z (T1218.011). Экспортируемая функция обращается к файлу с именем 1W2-UUE-ZNO-B99Z в каталоге C:\ProgramData, причем это же имя выступает в роли ключа для его расшифровки. После преобразования имени файла в строку широких символов из полученного значения берутся 16 старших байтов, которые используются в качестве ключа для алгоритма AES-128-CBC, чтобы расшифровать (T1140) содержимое файла из папки C:\ProgramData (T1027.013). Первые 4 байта расшифрованных данных указывают на размер полезной нагрузки (T1027.009), которой оказалась обновленная версия вредоносного ПО wAgent.

Эта разновидность зловреда wAgent способна принимать данные как в формате form-data, так и в формате JSON — в зависимости от того, к какому командному серверу удается установить подключение. Стоит отметить, что при установлении связи (T1071.001) в поле Cookie заголовка запроса присутствует ключ __Host-next-auth-token, который содержит набор данных, дополненный случайной последовательностью цифр. Особенностью новой версии стало использование библиотеки GNU Multiple-Precision (GMP) с открытым исходным кодом для выполнения RSA-вычислений — ранее эта библиотека не встречалась во вредоносных программах группы Lazarus. Согласно конфигурационному файлу wAgent, его версия — x64_2.1. В этой версии управление полезными нагрузками осуществляется с использованием контейнера C++ STL map. Основными задачами являются получение дополнительных полезных нагрузок с командного сервера и их загрузка напрямую в память, а также создание общего объекта, через который основной модуль обменивается параметрами команд и результатами их выполнения с загруженными плагинами.

Разновидность загрузчика Agamemnon

Загрузчик Agamemnon также отвечает за загрузку и выполнение дополнительных полезных нагрузок, полученных с командного сервера. Хотя нам не удалось получить конфигурационный файл Agamemnon, мы выяснили, что он получает команды с C2 и выполняет полезную нагрузку, анализируя команды и параметры, разделенные символами ;;. Режим выполнения, указанный в ответе вместе с командой 2, определяет способ запуска дополнительной полезной нагрузки, передаваемой вместе с командой 3. Предусмотрено два способа выполнения полезной нагрузки: первый — это рефлективная инъекция (reflective injection) (T1620), типичная для вредоносного ПО; второй — использование техники загрузчика Tartarus-TpAllocInject с открытым исходным кодом, которая ранее не встречалась в инструментах группы Lazarus.

Этот загрузчик с открытым исходным кодом построен на основе Tartarus’ Gate — другого загрузчика с открытым кодом. При этом Tartarus’ Gate основан на Halo’s Gate, который, в свою очередь, является производной техникой от Hell’s Gate. Все эти техники предназначены для обхода таких средств защиты, как антивирусы и EDR-решения, однако каждая из них использует свой способ загрузки полезной нагрузки.

Эксплойт Innorix Agent для горизонтального перемещения

В отличие от упомянутых ранее инструментов, эксплойт Innorix Agent нужен для горизонтального перемещения. Он загружается с помощью загрузчика Agamemnon (T1105) и эксплуатирует уязвимость в конкретной версии южнокорейской программы для передачи файлов — Innorix Agent, чтобы установить дополнительное вредоносное ПО на внутренние хосты (T1570). Innorix Agent — еще одно обязательное программное обеспечение для выполнения ряда финансовых и административных операций на южнокорейских веб-сайтах. Это означает, что оно, скорее всего, установлено на множестве корпоративных и пользовательских компьютеров в Южной Корее, и любой пользователь с уязвимой версией может стать потенциальной жертвой. Вредоносное ПО содержит лицензионный ключ, предположительно привязанный к версии 9.2.18.496, что позволяет ему осуществлять горизонтальное перемещение и отправлять вредоносный трафик, замаскированный под легитимный, на целевые компьютеры.

Эксплойт Innorix Agent получает параметры от загрузчика Agamemnon: IP-адрес целевой системы, URL-адрес для загрузки файла и его размер. Затем зловред отправляет запрос на этот IP-адрес, чтобы проверить, установлено ли и работает ли ПО Innorix Agent. Если получен успешный ответ, эксплойт считает, что программа на устройстве жертвы работает корректно, и передает трафик, позволяющий целевой системе загрузить дополнительные файлы с заданного URL-адреса без проверки трафика.

С помощью эксплойта Innorix Agent злоумышленники разместили в одной директории легитимную утилиту AppVShNotify.exe и вредоносную библиотеку USERENV.dll, после чего запустили утилиту, воспользовавшись легитимной функцией ПО. В результате посредством техники DLL sideloading (T1574.002) была загружена библиотека USERENV.dll, что в конечном итоге привело к запуску ThreatNeedle и LPEClient на целевых хостах — то есть к инициации цепочки заражения на ранее не затронутых устройствах.

Мы уведомили KrCERT о найденной уязвимости, учитывая потенциальную опасность эксплойта Innorix Agent. Однако в ответ нам сообщили, что эта уязвимость ранее использовалась злоумышленниками и уже зарегистрирована. Мы подтвердили, что описанный эксплойт не работает должным образом с версиями Innorix Agent, отличными от 9.2.18.496.

Кроме того, в ходе анализа поведения вредоносного ПО мы обнаружили еще одну уязвимость, позволяющую загружать произвольные файлы, которая затрагивает версии до 9.2.18.538. Она получила идентификатор KVE-2025-0014, и мы пока не нашли доказательств ее применения в реальных атаках. Отметим, что идентификационные номера уязвимостей с префиксом KVE присваиваются исключительно KrCERT. Нам удалось связаться с разработчиками Innorix через KrCERT и поделиться с ними информацией об обнаруженных уязвимостях. В результате компания выпустила исправленную версию в марте, в которой обе уязвимости были устранены.

Вредоносное ПО второго этапа

Второй этап операции также включает новые версии вредоносных инструментов, ранее наблюдавшихся в атаках группы Lazarus.

SIGNBT

В 2023 году мы описывали SIGNBT версии 1.0, однако в этой атаке была замечена версия 0.0.1. Также мы обнаружили более новую версию SIGNBT — 1.2. В отличие от версий 1.0 и 0.0.1, версия 1.2 имела минимальные возможности для удаленного управления и была ориентирована на выполнение дополнительных полезных нагрузок. Разработчики вредоносного ПО дали этой версии название Hijacking.

На втором этапе операции начальным имплантом выступал SIGNBT версии 0.0.1, который выполнялся в памяти через процесс SyncHost.exe и загружал дополнительное вредоносное ПО. В этой версии адрес командного сервера был задан в коде без каких-либо путей конфигурационных файлов. В ходе расследования мы обнаружили инструмент для сбора учетных данных, загруженный SIGNBT 0.0.1, — он оказался идентичен тому, который мы видели в предыдущих атаках.

В версии 1.2 путь к конфигурационному файлу извлекается из ресурсов самого образца, после чего из этого файла считываются адреса командных серверов. Нам удалось извлечь по два пути к конфигурационным файлам из каждого обнаруженного образца SIGNBT 1.2 — они приведены ниже. Еще одно изменение в SIGNBT 1.2 — количество префиксов, начинающихся с SIGN, было сокращено до трех: SIGNBTLG, SIGNBTRC и SIGNBTSR. Вредоносное ПО получает с командного сервера открытый ключ RSA и использует его для шифрования случайно сгенерированного ключа AES. Весь последующий трафик шифруется с помощью этого AES-ключа.

• Путь к файлу конфигурации 1: C:\ProgramData\Samsung\SamsungSettings\settings.dat
• Путь к файлу конфигурации 2: C:\ProgramData\Microsoft\DRM\Server\drm.ver

Расшифрованное содержимое конфигурации SIGNBT 1.2 представлено ниже.

COPPERHEDGE

COPPERHEDGE — это вредоносное ПО, получившее свое название от US-CERT в 2020 году и представляющее собой разновидность Manuscrypt. Оно преимущественно использовалось в атаках, связанных с кластером DeathNote. В отличие от других зловредов, задействованных в этой операции, COPPERHEDGE практически не претерпел изменений — были лишь незначительно скорректированы некоторые команды по сравнению с более ранними версиями. Эта версия получает конфигурационные данные, включая адрес командного сервера, из альтернативного потока данных (ADS) файла %appdata%\Microsoft\Internet Explorer\brndlog.txt:loginfo (T1564.004). Затем зловред отправляет HTTP-запросы на командный сервер, передавая три или четыре параметра в каждом запросе. Имя параметра выбирается случайным образом из трех вариантов в произвольном порядке.

• Имя 1-го параметра HTTP: bih, aqs, org
• Имя 2-го параметра HTTP: wib, rlz, uid
• Имя 3-го параметра HTTP: tib, hash, lang
• Имя 4-го параметра HTTP: ei, ie, oq

APT-группа использовала вредоносное ПО COPPERHEDGE преимущественно для проведения внутренней разведки в рамках этой операции. Бэкдор COPPERHEDGE содержит всего 30 команд с кодами от 0x2003 до 0x2032 и 11 кодов ответа от 0x2040 до 0x2050.

Эволюция вредоносного ПО Lazarus

В последние годы вредоносное ПО, используемое группой Lazarus, быстро развивается, становясь более модульным и компактным. Это касается не только новых инструментов, но и использованных ранее. Мы наблюдаем эти изменения уже несколько лет и считаем, что в будущем их будет еще больше.

	Применение асимметричного шифрования	Загрузка плагинов	Разделение на два модуля: основной (Core) и загрузчик (Loader)
MISTPEN	—	O	—
CookiePlus	O (RSA)	O	—
ThreatNeedle	O (Curve25519)	O	O
wAgent (загрузчик)	O (RSA)	O	—
Загрузчик Agamemnon	—	—	—
SIGNBT	O (RSA)	O	O
COPPERHEDGE	O (RSA)	—	O

Наши находки

В ходе расследования этой кампании мы получили подробное представление о стратегии действий группы Lazarus после компрометации. После установки вредоносного ПО COPPERHEDGE злоумышленники выполнили несколько команд Windows для сбора основной информации о системе (T1082, T1083, T1057, T1049, T1016, T1087.001), создания вредоносной службы (T1569.002, T1007) и попытались найти ценные хосты для горизонтального перемещения (T1087.002, T1135).

При анализе команд, выполненных злоумышленниками, мы обнаружили ошибку в использовании команды taskkill: параметр /im в этой команде указывает на имя образа ( imagename), а не на идентификатор процесса ( pid). Это говорит о том, что группа все еще проводит внутреннюю разведку, вводя команды вручную.

Инфраструктура

В этой операции большинство командных серверов представляли собой легитимные, но скомпрометированные южнокорейские веб-сайты (T1584.001), что подтверждает четкую направленность операции на Южную Корею. На первом этапе в качестве командных серверов злоумышленники использовали некоторые новостные сайты, чтобы избежать обнаружения атак типа watering hole. Однако, когда цепочка заражений перешла ко второму этапу, атакующие подключили к операции легитимные сайты других категорий.

В отличие от других случаев, командный сервер LPEClient был размещен той же хостинговой компанией, что и веб-сайт www.smartmanagerex[.]com, который был специально создан для начального заражения. Поскольку LPEClient активно используется группой Lazarus для доставки дополнительных полезных нагрузок, вполне вероятно, что злоумышленники специально арендовали и настроили сервер (T1583.003), привязав к нему домен под своим контролем, чтобы сохранить полную оперативную гибкость. Кроме того, мы обнаружили, что два домена, использовавшихся в качестве командных серверов для SIGNBT 0.0.1, разрешались на диапазон IP-адресов той же хостинговой компании.

Мы установили, что домен thek-portal[.]com до 2020 года принадлежал южнокорейскому интернет-провайдеру и был легитимным доменом страховой компании, которую впоследствии приобрела другая организация. С тех пор домен был заброшен, и его статус изменился в феврале 2025 года, указывая на то, что группа Lazarus заново зарегистрировала домен для использования в этой операции.

Атрибуция

В ходе этой кампании было использовано несколько образцов вредоносного ПО, которые мы отнесли к группе Lazarus на основе продолжительного и тщательного анализа. Наши выводы подтверждаются как историческим использованием этих программ, так и характерными тактиками, техниками и процедурами, которые подробно задокументированы различными поставщиками решений в области кибербезопасности и государственными организациями. Мы также проанализировали время выполнения команд Windows, передаваемых вредоносным ПО COPPERHEDGE, время создания всех описанных выше вредоносных образцов, а также момент первоначального заражения хостов. Анализ показал, что основная активность приходилась на период с 00:00 до 09:00 по времени GMT. Исходя из стандартных рабочих часов в разных часовых поясах, мы предполагаем, что злоумышленники действуют из часового пояса GMT+09.

Жертвы

Мы выявили как минимум шесть организаций в Южной Корее, пострадавших от «Операции SyncHole». Они представляют сферы информационных технологий, разработки ПО, финансов, производства полупроводников и телекоммуникаций. Тем не менее мы уверены, что реальное число пострадавших значительно больше и охватывает более широкий круг отраслей, учитывая популярность программного обеспечения, на которое нацелилась группа Lazarus в этой кампании.

Заключение

Группа Lazarus уже не в первый раз эксплуатирует цепочку поставок, демонстрируя глубокое понимание того, какое программное обеспечение широко используется в Южной Корее. Ранее мы описывали подобные атаки в наших отчетах по кластерам Bookcode (2020 год), DeathNote (2022 год) и вредоносному ПО SIGNBT (2023 год). Во всех этих случаях злоумышленники эксплуатировали программное обеспечение южнокорейской разработки, необходимое для работы с онлайн-банкингом и государственными службами. Оба легитимных программных продукта, использованных злоумышленниками в рамках текущей кампании, четко вписываются в эту закономерность, что свидетельствует о том, что группа Lazarus по-прежнему успешно совершенствует и применяет стратегию каскадных атак на цепочку поставок.

Ожидается, что целенаправленные атаки группы Lazarus на цепочки поставок в Южной Корее будут продолжаться и в будущем. Наши исследования за последние годы показали, что многие южнокорейские поставщики программного обеспечения уже стали жертвами подобных атак. И если исходный код их продуктов был скомпрометирован, в дальнейшем могут быть раскрыты новые уязвимости нулевого дня. Злоумышленники также прилагают усилия к минимизации риска обнаружения, разрабатывая новое вредоносное ПО или совершенствуя уже существующие образцы. В частности, они улучшают механизмы взаимодействия с командными серверами, структуру команд, а также способы передачи и получения данных.

Мы продемонстрировали, что точное обнаружение и своевременное реагирование позволяют эффективно противодействовать тактике злоумышленников. Помимо этого, мы помогли устранить уязвимости и минимизировать ущерб, сократив масштаб атак. Мы продолжим отслеживать деятельность этой группы и оперативно реагировать на любые изменения. Также мы рекомендуем использовать надежные защитные решения, чтобы быть готовыми к угрозам и минимизировать возможные риски. Наша линейка продуктов для бизнеса помогает выявлять и предотвращать атаки любой сложности на ранних стадиях.

Решения «Лаборатории Касперского» детектируют эксплойты и вредоносное ПО, использованные в этой атаке, со следующими вердиктами: Trojan.Win64.Lazarus.*, Trojan.Win32.Lazarus.*, MEM:Trojan.Win32.Cometer.gen, MEM:Trojan.Win32.SEPEH.gen, Trojan.Win32.Manuscrypt.*, Trojan.Win64.Manuscrypt.*, Trojan.Win32.Zenpak.*.

Индикаторы компрометации

Дополнительные индикаторы компрометации доступны клиентам сервиса аналитических отчетов об APT-угрозах. Для получения более подробной информации свяжитесь с нами по адресу intelreports@kaspersky.com.

Разновидность загрузчика ThreatNeedle
f1bcb4c5aa35220757d09fc5feea193b C:\System32\PCAuditex.dll

Разновидность загрузчика wAgent
dc0e17879d66ea9409cdf679bfea388c C:\ProgramData\intel\util.dat

Дроппер COPPERHEDGE
2d47ef0089010d9b699cd1bbbc66f10a %AppData%\hnc\_net.tmp

Командные серверы
www[.]smartmanagerex[.]com
hxxps://thek-portal[.]com/eng/career/index.asp
hxxps://builsf[.]com/inc/left.php
hxxps://www[.]rsdf[.]kr/wp-content/uploads/2024/01/index.php
hxxp://www[.]shcpump[.]com/admin/form/skin/formBasic/style.php
hxxps://htns[.]com/eng/skin/member/basic/skin.php
hxxps://kadsm[.]org/skin/board/basic/write_comment_skin.php
hxxp://bluekostec[.]com/eng/community/write.asp
hxxp://dream.bluit.gethompy[.]com/mobile/skin/board/gallery/index.skin.php