___

​​И снова Lazarus. На прошлой неделе Лаборатория Касперского выпустила отчет о выявленной кибероперации MATA, в процессе которой северокорейская APT Lazarus использовала модульную вредоносную структуру, способную заражать машины под управлением Windows, Linux и macOS, для атак на корпоративные сети Польши, Германии, Турции, Южной Кореи, Японии и Индии. Мы писали про это здесь. Сегодня Касперские выпустили новый отчет, в котором рассказали про выявленный в этом году инцидент с заражением некой европейской компании неизвестным ранее ransomware VHD. Среди любопытных фишек VHD - "нестандартная криптография" с использованием генератора псевдослучайных чисел Вихрь Мерсенна и шифрование файлов комбинацией AES-256 в режиме ECB и RSA-2048. Но гораздо интереснее то, что методика распространения вымогателя внутри атакованной сети сильно напоминала используемую APT, а конкретнее - применявшуюся в киберкампаниях Sony, Shamoon и OlympicDestroyer (намек в сторону Lazarus). И вот, спустя два месяца ЛК получила данные в отношении второго инцидента, в котором атакованная сеть была скомпрометирована через уязвимый VPN-шлюз, а бэкдор, использовавшийся хакерами во время распространения вымогателя VHD, являлся частью вредоносной платформы MATA, что окончательно доказало тот факт, что оператором ransomware VHD является северокорейская группа Lazarus. Заметим, что, скорее всего, это не первая попытка Lazarus "поиграть" в ransom, ведь авторство всем известного WannaCry также предписывается хакерам из КНДР. Да и неудивительно - северокорейцам всегда необходимо дополнительное финансирование своих киберопераций. Тем не менее, с точки зрения прогосударственной APT выход на "рынок" ransomware - шаг весьма неординарный. До сих пор единственная аналогия, которая приходит нам в голову - заявления некоторых инфосек экспертов о причастности Cozy Bear и Fancy Bear к созданию вымогателя Maze (весьма спорные, по нашему мнению). #APT #Lazarus