Долгое время считалось, что Россия является запретной целью для хакеров из КНДР из-за дружеских отношений между двумя странами. Однако теперь все изменилось. Исследователи компании Check Point впервые в истории зафиксировали кибератаку, осуществленную северокорейской киберпреступной группировкой Lazarus на цели в РФ.

По мнению исследователей, атака была осуществлена подразделением Lazarus под названием Bluenoroff. Задачей данного подразделения является получение финансовой выгоды, тогда как задачей другого подразделения под названием Andariel является осуществление кибератак на Южную Корею. Именно Bluenoroff эксперты приписывают нашумевший взлом серверов Sony Pictures Entertainment в 2014 году и похищение $81 млн у Центробанка Бангладеш.

На то, что за кибератаками на цели в России стоит Lazarus, указывает используемое киберпреступниками вредоносное ПО, а именно - многофункциональный бэкдор KEYMARBLE. Министерство внутренней безопасности США описывает его как троян для получения удаленного доступа (RAT), использующий для защиты передаваемых данных и связи с C&C-сервером криптографический алгоритм XOR. KEYMARBLE получает инструкции от удаленного сервера.

Заражение атакуемых систем в ходе новой кампании происходило в три этапа. Сначала жертва получала по электронной почте письмо с ZIP-архивом с вредоносными документами PDF и Word. После активации макросов из Drobox на компьютер жертвы загружался скрипт VBS. После выполнения скрипт загружал со взломанного сервера файл CAB и выполнял его полезную нагрузку. В какой-то момент в ходе кампании злоумышленники отказались от второго шага и модифицировали макросы в документе Word таким образом, чтобы они загружали непосредственно сам бэкдор.

Возникает вопрос, зачем КНДР потребовалось атаковать дружественное государство? Безусловно, кто-то другой мог просто выдать себя за северокорейских хакеров, но в данном случае специалисты Check Point уверены, что за атаками действительно стоит Lazarus.