V polovině roku 2020, odborníci Kaspersky Lab Lab našli novou škodlivou kampani skupiny Lazarus, která se specializuje na komplexní cílové útoky. Útočníci rozšířili své portfolio útoky na obranný průmysl, ve kterém používali jehlu škodlivé ohrožení, týkající se klastru Manuscrypt. V obětí útoků byly podniky z Ruska. Odvolání na infrastrukturu vetřelců z Evropy, Severní Ameriky, Středního východu a Asie, které mohou hovořit o možných obětí v těchto regionech, lze také zaznamenat.
Když jedna z postižených organizací požádala o pomoc, odborníci společnosti nalezeni na síti Backdoor Hrožení, dříve viděné v záchvatech Lazarus na společnosti CryptoCurrency. Počáteční infekce došlo k cílovému phishingu: útočníci se sázeli na příslušné téma - prevence a diagnostiku infekce Coronavirus. Jednou z nejzajímavějších detailů této kampaně se vztahuje k tomu, jak útočníci překonali segmentaci sítě. Síť napadeného podniku byla rozdělena do dvou segmentů: firemní (síť, počítače, které mají přístup k internetu) a izolované (sítí, počítače, které obsahují důvěrná data a nemají přístup k internetu). Útočníci se podařilo získat pověření z routeru používaného správci pro připojení izolovaných a firemních sítích. Změnou jeho nastavení a instalace dalšího softwaru na něj byli schopni otočit do hostování škodlivého softwaru v síti podniku. Poté byl směrovač použit k proniknutí segmentu, výstup z ní a odešlete je na příkazový server.
"Lazarus není jen supergargabrační skupina, ale také velmi pokročilá. Útočníci nejen překonávají segmentaci sítě, ale také provedli důkladnou studii k vytvoření personalizovaného a efektivního phishingového newsletteru a přizpůsobených nástrojů pro přenos ukradených informací na vzdáleném serveru. Podniky musí učinit další bezpečnostní opatření na ochranu před tímto druhem kybernetických kampaní, "vysvětluje Vyacheslav Kopeans, senior Expert Kaspersky ICS Cert.