INFO 8 Опубликовано: 22 апр 2019 APT-группировка Lazarus взяла на вооружение ранее неизвестный троян HOPLIGHT, способный доставлять на целевое устройство вредоносные модули, изменять реестр и делать инъекции в уже запущенные процессы. К такому выводу пришли эксперты Департамента внутренней безопасности США и специалисты ФБР, опубликовавшие детальный отчет о зловреде. Они утверждают, что программа использует многоуровневую обфускацию канала передачи данных, чтобы скрыть командные серверы и затруднить обнаружение атаки антивирусными сканерами. HOPLIGHT состоит из девяти исполняемых файлов, из них семь — прокси-приложения для маскировки трафика между инфицированным компьютером и центром управления. ИБ-специалисты выяснили, что троян использует легитимный SSL-сертификат южнокорейского поисковика Naver для генерации фальшивых TSL-рукопожатий и сокрытия канала передачи данных с жестко заданными IP-адресами хостов. Вредоносные компоненты могут: * Подключаться к удаленному серверу. * Скачивать файлы с целевой машины и доставлять на нее полезную нагрузку. * Вести подсчет системных дисков. * Создавать и завершать процессы. * Вносить изменения в системный реестр. * Перемещать, читать и изменять файлы. * Внедрять код в активные процессы. * Запускать и останавливать службы в рамках ОС. Исследователи обнаружили, что один из компонентов HOPLIGHT загружает в скомпрометированную систему несколько программных интерфейсов, связанных с тулкитами, для атак Pass-The-Hash. Такие вредоносные инструменты предназначены для авторизации на удаленном сервере, а также кражи пользовательских паролей и другой учетной информации. Помимо этого, зловред собирает и передает операторам данные о версии ОС, метках дисков и системном времени. • Source: https://www.us-cert.gov/ncas/analysis-reports/AR19-100A 0 Поделиться сообщением Ссылка на сообщение