У сярэдзіне 2020 года эксперты «Лабараторыі Касперскага» выявілі новую шкоднасную кампанію групы Lazarus, якая спецыялізуецца на складаных мэтавых атаках. Зламыснікі пашырылі сваё партфоліо нападамі на абаронную прамысловасць, у якіх яны выкарыстоўвалі шкоднаснае ПА Threat Needle, якое адносіцца да кластару Manuscrypt.Среди ахвяраў нападаў былі прадпрыемствы з Расіі. Таксама былі зарэгістраваныя звароту да інфраструктуры зламыснікаў з Еўропы, Паўночнай Амерыкі, Блізкага Усходу і Азіі, што можа гаварыць аб магчымых ахвярах і ў гэтых рэгіёнах.
Калі адна з пацярпелых арганізацый звярнулася па дапамогу, эксперты кампаніі выявілі ў сетцы бэкдор ThreatNeedle, раней заўважаны ў нападах Lazarus на криптовалютные кампаніі. Пачатковае заражэнне адбывалася шляхам мэтавага фішынгу: зламыснікі зрабілі стаўку на актуальную тэму - прафілактыку і дыягностыку коронавирусной інфекцыі. Адна з найбольш цікавых дэталяў дадзенай кампаніі звязана з тым, як зламыснікі пераадолелі сегментацыю сеткі. Сетка атакаванай прадпрыемства была падзелена на два сегмента: карпаратыўны (сетка, кампутары якой маюць доступ да інтэрнэту) і ізаляваны (сетка, кампутары якой ўтрымліваюць канфідэнцыйныя дадзеныя і не маюць доступу да інтэрнэту). Зламыснікам атрымалася атрымаць ўліковыя дадзеныя ад маршрутызатара, які выкарыстоўваецца адміністратарамі для падключэнняў да ізаляванай і карпаратыўнай сетках. Змяніўшы яго налады і усталяваўшы на ім дадатковае ПА, яны змаглі ператварыць яго ў хостынг шкоднаснага ПА у сеткі прадпрыемства. Пасля гэтага маршрутызатар выкарыстоўваўся для пранікнення ў ізаляваны сегмент, высновы дадзеных з яго і адпраўкі іх на камандны сервер.
«Lazarus - не толькі звышактыўнасці група, але і вельмі прасунутая. Зламыснікі не толькі пераадолелі сегментацыю сеткі, але і правялі дбайнае даследаванне, каб стварыць персаналізаваную і эфектыўную фішынгавых рассылку і кастомизированные інструменты для перадачы выкрадзенай інфармацыі на аддалены сервер. Прадпрыемствам неабходна прымаць дадатковыя меры бяспекі для абароны ад такога роду кампаній кібершпіянажу », - тлумачыць Вячаслаў Копейцев, старшы эксперт Kaspersky ICS CERT.