Στη μέση του 2020, οι εμπειρογνώμονες του Kaspersky Lab βρήκαν μια νέα κακόβουλη εκστρατεία της ομάδας Lazarus, η οποία ειδικεύεται σε σύνθετες επιθέσεις στόχους. Οι επιτιθέμενοι επέκτειναν τις επιθέσεις χαρτοφυλακίου τους στην αμυντική βιομηχανία, στην οποία χρησιμοποίησαν τη βελόνα κακόβουλης απειλής, που σχετίζονται με το σύμπλεγμα Manuscrypt. Στα θύματα των επιθέσεων ήταν οι επιχειρήσεις από τη Ρωσία. Προσφυγές για την υποδομή των εισβολέων από την Ευρώπη, τη Βόρεια Αμερική, τη Μέση Ανατολή και την Ασία, η οποία μπορεί να μιλήσει για πιθανά θύματα σε αυτές τις περιοχές μπορεί επίσης να καταγραφεί.
Όταν ένας από τους επηρεαζόμενους οργανισμούς που ζητήθηκαν για βοήθεια, οι εμπειρογνώμονες της εταιρείας που βρέθηκαν στο δίκτυο backdoor refthneedle, που είδαν προηγουμένως στις επιθέσεις Lazarus σε εταιρείες κρυπτογράφησης. Η αρχική λοίμωξη εμφανίστηκε από το phishing στόχο: οι επιτιθέμενοι έκαναν ένα στοίχημα σε ένα σχετικό θέμα - την πρόληψη και τη διάγνωση της μόλυνσης Coronavirus. Ένα από τα πιο ενδιαφέροντα στοιχεία αυτής της εκστρατείας σχετίζεται με το πώς οι επιτιθέμενοι υπερβαίνουν το κατάτμηση του δικτύου. Το δίκτυο της επιτιθέμενης επιχείρησης χωρίστηκε σε δύο τμήματα: ένα εταιρικό (δίκτυο, υπολογιστές που έχουν πρόσβαση στο Διαδίκτυο) και απομονώνονται (δίκτυο, υπολογιστές που περιέχουν εμπιστευτικά δεδομένα και δεν έχουν πρόσβαση στο Internet). Ένας επιτιθέμενος κατάφερε να πάρει διαπιστευτήρια από το δρομολογητή που χρησιμοποιείται από τους διαχειριστές για συνδέσεις σε απομονωμένα και εταιρικά δίκτυα. Αλλάζοντας τις ρυθμίσεις και την εγκατάσταση πρόσθετου λογισμικού σε αυτό, ήταν σε θέση να το μετατρέψουν στη φιλοξενία κακόβουλου λογισμικού στο δίκτυο της επιχείρησης. Μετά από αυτό, ο δρομολογητής χρησιμοποιήθηκε για να διεισδύσει στο τμήμα, να εξάγει από αυτό και να τα στείλει στον διακομιστή εντολών.
"Ο Λάζαρος δεν είναι μόνο μια ομάδα υπερφόρτισης, αλλά και πολύ προχωρημένη. Οι επιτιθέμενοι όχι μόνο ξεπεράσουν την κατάτμηση του δικτύου, αλλά επίσης διεξήγαγαν διεξοδική μελέτη για τη δημιουργία ενός εξατομικευμένου και αποδοτικού ενημερωτικού δελτίου ηλεκτρονικού "ψαρέματος και προσαρμοσμένων εργαλείων για τη μετάδοση κλεμμένων πληροφοριών σε ένα απομακρυσμένο διακομιστή. Οι επιχειρήσεις πρέπει να κάνουν πρόσθετα μέτρα ασφαλείας για την προστασία έναντι αυτού του είδους των καμπανιών του κυβερνοχώρου, "εξηγεί ο Vyacheslav Kopeans, ο ανώτερος εμπειρογνώμονας Kaspersky ICS Cert.