Проверьте своё ПО: Lazarus атакует цепочку поставок пакетов npm

Китайская ИБ-компания QiAnXin обнаружила новую кампанию группировка Lazarus, в ходе которой используются npm-пакеты для атак на цепочку поставок с помощью многоуровневого метода загрузки для сокрытия следов атаки.

На основе характеристик кода образцов загрузки и других связанных образцов исследователи связали их с образцами предыдущих атак Lazarus, учитывая, что Lazarus часто использует атаки на цепочку поставок.

Многоуровневый метод загрузки вредоносного ПО включает в себя следующие этапы:

1. Загрузка и расшифровка встроенного файла PE, который содержит код для второго этапа загрузки. Расшифровка обычно выполняется с использованием XOR-шифрования.

1. Загрузка и выполнение второго файла PE, который содержит код для установления связи с C2-сервером и доставки последующей полезной нагрузки.

Использование многоуровневого метода загрузки позволяет атакующим скрыть следы атаки от антивирусного программного обеспечения. Если антивирусное ПО обнаружит первый файл PE, оно может заблокировать его загрузку. Однако, если антивирусное ПО не обнаружит первый файл PE, оно не сможет обнаружить и второй файл PE, который является более опасным.

Образцы также используют методы запутывания для связи с C2-сервером для избегания обнаружения и анализа, в частности RSA-шифрование. Другим методом запутывания является использование методов сжатия с использованием алгоритма gzip. Это затрудняет анализ содержимого связи.

Последующие нагрузки образцов загрузки являются троянскими программами, которые могут похищать конфиденциальную информацию (учетные данные, финансовую и личную информацию) и выполнять удаленные команды (в т.ч. устанавливать другие вредоносные программы, отслеживать активность пользователя и захватывать контроль над компьютером жертвы).

Исходя из многоуровневого метода загрузки и характеристик связи с C2-сервером, атакующие, вероятно, пытаются скрыть следы атаки и снизить риск обнаружения последующих нагрузок. Учитывая связь с Lazarus, атакующие, вероятно, будут использовать эту возможность для проведения дальнейших атак.