___

Северокорейские хакеры из APT Lazarus использовали в своей новой вредоносной кампании, направленной на пользователей из Южной Кореи, интересный метод заражения, пишут в свежем отчете исследователи из словацкого инфосек вендора ESET . Cловаки называют новую операцию Lazarus "атакой на цепочку поставок", но мы бы сказали, что это гибрид "атаки на цепочку поставок" и "атаки на водопой". В этот раз хакеры из КНДР воспользовались недостатком в южнокорейском программном обеспечении WIZVERA VeraPort, которое используется для управления установкой дополнительных программ безопасности. К примеру, при посещении банковского сайта пользователя просят установить ПО для проверки личности или специализированный модуль для браузера. Все это в автоматическом режиме обеспечивает WIZVERA VeraPort. Для получения данных о ПО, которое необходимо загрузить с конкретного ресурса, VeraPort берет с целевого сайта файл конфигурации, подписанный цифровой подписью. Там используется RSA и взламывать ее весьма трудоемко, поэтому Lazarus придумали другой трюк. Они скомпрометировали несколько сайтов, поддерживающих VeraPort , и заменили легальное ПО, которое должно было загрузиться на компьютер пользователя, вредоносным доппельганером. Недостаток VeraPort проявился в том, что программа проверяет только подлинность цифровой подписи загружаемых двоичных файлов, но не проверяет принадлежит ли эта подпись сайту, с которого идет загрузка, если не включена опция проверки хэша загружаемого файла. Северокорейцы, скомпрометировав две подобные цифровые подписи, которые принадлежат южнокорейским филиалам двух американских компаний по безопасности, пописали ими свои вредоносы и разметили на взломанных сайтах. Таким образом пользователи при обращении к этим сайтам автоматически загружали себе полный комплект радости, включая полноценный троян удаленного доступа (RAT). В этот раз ESET провели хорошую работу по атрибуции и принадлежность атаки именно APT Lazarus подтверждена большим количеством TTPs, как то - совпадения в коде, вредоносной инфраструктуре, методах шифрования и пр. Эта атака лишний раз подтверждает нашу правоту относительно того, что каждый новый процесс автоматизации чего-либо потенциально приносит новые уязвимости. Поэтому иногда безопаснее что-то сделать руками, а не полагаться на ПО. #APT #Lazarus