Ссылаясь на результаты анализа, проведенного в AlienVault, новостное издание Security Week сообщает об обнаружении вредоносных документов в формате HWP, создателем которых предположительно является северокорейская APT-группа Lazarus.

Криминальную группировку Lazarus считают ответственной за ряд громких взломов и краж; в частности ей приписывают хищение большого количества конфиденциальных данных у Sony Pictures Entertainment в 2014 году и дерзкое ограбление Центрального банка Бангладеш. Целевые атаки на финансовый сектор в основном проводит дочерняя структура Lazarus, именуемая BlueNoroff, которая последнее время интересуется также криптовалютой.

Используемый Lazarus инструментарий хорошо изучен и узнаваем, его наличие — один из признаков, помогающих экспертам определить авторство APT-атак. Изучив три вредоносных HWP-файла, обнаруженных исследователями из Южной Кореи, эксперты AlienVault предположили, что они были созданы участниками Lazarus/BlueNoroff.

Документы в формате HWP создаются с помощью текстового редактора Hangul Word Processor (ранее Hanword), пользующегося большой популярностью в Корее. Все найденные файлы содержат вредоносный код, загружающий со стороннего сервера целевой зловред — 32-битную или 64-битную версию бэкдора Manuscrypt, который участники BlueNoroff зачастую используют в атаках на финансовые институты и криптообменники.

Два маскировочных документа, используемых злоумышленниками, представляют собой резюме, третий посвящен вопросам, обсуждавшимся на мартовской встрече министров финансов и глав центробанков стран «большой двадцатки» (участников встречи в основном волновало состояние криптоактивов).

По словам AlienVault, южнокорейские эксперты уже сталкивались с похожими вредоносными HWP-файлами в мае и июне, в том числе при расследовании кражи $31 млн у пользователей Bithumb — крупнейшей криптобиржи Южной Кореи. Авторы этих атак тоже использовали поддельные резюме для маскировки; по оформлению они схожи с фальшивками, подвергнутыми анализу в AlienVault.

Примечательно, что авторы более ранних атак на южнокорейские криптообменники регистрировали домены для фишинга. По свидетельству экспертов, это необычная практика для Lazarus, предпочитающей взлом и заражение чужих сайтов. Расследование показало, что во всех случаях регистрант фишинговых доменов при оформлении использовал единственный номер телефона — тот же, под которым был зарегистрирован сайт, отдающий Manuscrypt.

Категории: Аналитика, Вредоносные программы, Хакеры