Исследователи из Лаборатории Касперского раскрывают новую сложную цепочку заражения Lazarus APT, нацеленную как минимум на двух сотрудников неназванной организации в сфере ядерных технологий в течение января 2024 года.

Атаки завершались развертыванием нового модульного бэкдора CookiePlus и являлись частью долговременной кампании кибершпионажа, известной как Operation Dream Job, которая также отслеживается ЛК как NukeSped.

Она активна по крайней мере с 2020 года, когда ее раскрыла ClearSky.

Lazarus крайне заинтересована в проведении атак на цепочки поставок в рамках кампании DeathNote, ограничиваясь двумя методами.

Первый — отправка вредоносного документа или троянизированного инструмента просмотра PDF, которое отображает цели специально подобранные описания вакансий.

Второй способ - доставка троянизированных инструментов удаленного доступа, убеждая жертву подключиться к определенному серверу для оценки навыков.

Последняя серия атак, задокументированная ЛК, реализует второй: задействуется полностью переработанная цепочка заражения с троянизированной VNC под предлогом проведения оценки навыков для ИТ-должностей в крупных аэрокосмических и оборонных компаниях.

Lazarus доставила архивный файл как минимум двум людям в одной организации (назовем их Host A и Host B), а через месяц хакеры предприняли более интенсивные атаки на первую цель.

Предполагается, что приложения VNC, троянизированная версия TightVNC под названием AmazonVNC.exe, распространялись в виде образов ISO и файлов ZIP. В других случаях для загрузки вредоносной DLL, упакованной в архив ZIP, использовалась легитимная версия UltraVNC.

DLL (vnclang.dll) служит загрузчиком для бэкдора, получившего название MISTPEN, который был обнаружен Mandiant в сентябре 2024 года. Он также использовался доставки двух дополнительных полезных нагрузок под названием RollMid и нового варианта LPEClient.

Исследователи ЛК заявили, что также задетектили вредоносное ПО CookieTime, развернутое на хосте A, хотя точный метод, который использовался для его внедрения, остается неизвестным.

Впервые обнаруженный компанией в сентябре и ноябре 2020 года, CookieTime назван из-за использования закодированных значений cookie в HTTP-запросах для получения инструкций с сервера управления и контроля (C2).

Дальнейшее расследование цепочки атак показало, что злоумышленник переместился с хоста A на другую машину (хост C), где CookieTime использовался для доставки полезных нагрузок с февраля по июнь 2024 года, включая: LPEClient, ServiceChanger, Charamel Loader и CookiePlus.

CookiePlus получил свое название в виду маскировки под плагин Notepad++ с открытым исходным кодом под названием ComparePlus, когда он был обнаружен в дикой природе в первый раз. В атаках он был основан на другом проекте под названием DirectX-Wrappers.

Вредоносная программа служит загрузчиком для извлечения полезной нагрузки, закодированной Base64 и зашифрованной RSA, с сервера C2, которая затем декодируется и расшифровывается для выполнения трех различных шеллкодов или DLL с функциями сбора информации.

Предполагается, что CookiePlus является преемником MISTPEN из-за совпадений в поведении двух штаммов вредоносных ПО, включая тот факт, что оба они маскируются под плагины Notepad++.

Длительное время группа Lazarus использовала лишь небольшое количество модульных вредоносных фреймворков, таких как Mata и Gopuram Loader, однако внедрение новыых модульных вредоносных ПО, такие как CookiePlus, говорит о том, что группа продолжает работать над улучшением своего арсенала и цепочек заражения.

Исследователи Akamai сообшают о появлении нового ботнета Hail Cock на базе наследия Mirai, который нацелен на RCE-уязвимость в сетевых видеорегистраторах DigiEver DS-2105 Pro, которая не получила идентификатор CVE и, по-видимому, остается неисправленной.

Кампания началась в октябре и нацелена на несколько сетевых видеорегистраторов и маршрутизаторов TP-Link с устаревшей прошивкой.

Одна из уязвимостей, использованных в кампании, была задокументирована исследователем TXOne Та-Лун Йеном и представлена в прошлом году на конференции DefCamp в Бухаресте, Румыния.

Akamai заметили, что ботнет начал активно использовать уязвимость в середине ноября, но обнаружили доказательства того, что кампания была активна как минимум с сентября.

Помимо уязвимости DigiEver новый вариант вредоносного ПО Mirai также нацелен на уязвимость CVE-2023-1389 в устройствах TP-Link и CVE-2018-17532 на маршрутизаторах Teltonika RUT9XX.

Ошибка, используемая для взлома сетевых видеорегистраторов DigiEver, представляет собой RCE-уязвимость удаленного выполнения кода, и связана с URI «/cgi-bin/cgi_main.cgi», который неправильно проверяет вводимые пользователем данные.

Это позволяет удаленным неаутентифицированным злоумышленникам вводить команды типа «curl» и «chmod» через определенные параметры, например поле ntp в HTTP-запросах POST.

Akamai полагает, что наблюдаемые со стороны ботнета атаки, похожи на те, что были описаны в презентации Та-Лун Йена.

С помощью инъекции команд злоумышленники получают двоичный файл вредоносного ПО с внешнего сервера и включают устройство в свою ботсеть. Устойчивость достигается путем добавления заданий cron.

После взлома устройство используется для проведения DDoS или для распространения на другие устройства с использованием наборов эксплойтов и списков учетных данных.

По данным Akamai, новый вариант Mirai примечателен использованием шифрования XOR и ChaCha20, а также ориентирован на широкий спектр системных архитектур, включая x86, ARM и MIPS.

Хотя использование сложных методов дешифрования не является чем-то новым, оно предполагает развитие TTPs среди операторов ботнетов на базе Mirai.

Это особенно примечательно, поскольку многие ботнеты на базе Mirai по-прежнему зависят от оригинальной логики обфускации строк из переработанного кода, который был включен в исходный код оригинальной вредоносной программы Mirai.

IoC, связанные с кампанией, а также правила Yara для обнаружения и блокировки угрозы - доступны в отчете Akamai.

Последний шанс участвовать в розыгрыше от Codeby & S.E.!

Новое задание уже доступно в нашем боте, а всё что нам известно — игрушечная машинка чип шпион попугай... 🕵‍♂

Уже завтра пройдёт розыгрыш призов среди участников CTF 🎁

А если вам понравилось решать задания — то их можно решать круглый год на платформе codeby.games!

📌 Решить задание и участвовать в розыгрыше: @codeby_se_bot

Клиентам Ivanti подъехали рождественские подарочки в виде новых активно эксплуатируемых 0-day, на распаковку позвали исследователей Mandiant из Google Cloud.

В среду Ivanti уведомила клиентов о том, что в ее VPN-устройствах Connect Secure (ICS) были исправлены две уязвимости - CVE-2025-0282 и CVE-2025-0283. 

Первая критическая связана с переполнением буфера в стеке, позволяющее неаутентифицированным удаленным злоумышленникам выполнять произвольный код.

Компания предупредила, что она была успешно реализована в отношении ограниченного числа клиентов, не раскрывая при этом подробностей об атаках.

Затем Mandiant, привлеченная Ivanti к расследованию атак, выявила, что эксплуатация была связана с китайскими злоумышленниками, а началась еще в середине декабря 2024 года.

К настоящему времени исследователям не удалось приписать эксплуатацию CVE-2025-0282 конкретному субъекту угрозы.

Но вместе с тем, было замечено, что злоумышленники развернули семейство вредоносного ПО Spawn, которое было связано ранее с китайской UNC5337.

Spawn включает в себя установщик SpawnAnt, туннелер SpawnMole и SSH-бэкдор под названием SpawnSnail.

В Mandiant со средней уверенностью полагают, что UNC5337 является частью группы угроз UNC5221, ранее замеченной в эксплуатации уязвимостей решений Ivanti (CVE-2023-46805 и CVE-2024-21887). Жертвами этих атак тогда стали MITRE и CISA.

В атаках с новым нулем Ivanti ICS Mandiant также обнаружила ранее неизвестные семейства вредоносных ПО, которые получили названия DryHook и PhaseJam, которые еще не были приписаны к какой-либо известной группе угроз.

По всей видимости, за создание и развертывание этих различных семейств кодов (например, Spawn, DryHook и PhaseJam) отвечают несколько субъектов, но на момент публикации отчета точно оценить число субъектов угроз, нацеленных на CVE-2025-0282, в Mandiant не смогли.

В наблюдаемых атаках хакеры сначала отправляли запросы на целевое устройство, пытаясь определить версию ПО, поскольку эксплуатация зависит от версии.

Затем они эксплуатировали CVE-2025-0282, отключили SELinux, внесли изменения в конфигурацию, выполнили скрипты и развернули веб-оболочки в рамках подготовки к развертыванию вредоносного ПО.

Вредоносная программа PhaseJam - это дроппер, предназначенный для изменения компонентов Ivanti Connect Secure, развертывания веб-оболочек и перезаписи исполняемых файлов для облегчения выполнения произвольных команд.

Вредоносная ПО помогает злоумышленникам создать первоначальный плацдарм, позволяет им выполнять команды, загружать файлы на устройство и извлекать данные.

DryHook использовалось злоумышленниками на этапе постэксплуатации для кражи учетных данных. 

В попытке сохраниться после обновлений системы злоумышленники использовали вредоносное ПО SpawnAnt, которое копирует себя и свои компоненты в специальный раздел обновлений.

Кроме того, вредоносное ПО PhaseJam блокирует обновления системы, но отображает поддельную шкалу прогресса обновления, не вызывая подозрений.

Mandiant предупреждает, что CVE-2025-0282, вероятно, будет использована и другими злоумышленниками после публикации PoC. 

Пока хакеры развлекаются, Ivanti вновь усердно пилит обновления, выпустив исправления лишь для Connect Secure.

Однако Policy Secure и Neurons для ZTA остаются все еще уязвимыми и получат исправления только 21 января.