Au milieu de 2020, les experts de Kaspersky Lab ont trouvé une nouvelle campagne malveillante du groupe Lazarus, spécialisée dans les attaques cibles complexes. Les attaquants ont élargi leurs attaques de portefeuille sur l'industrie de la défense, dans laquelle ils ont utilisé l'aiguille de la menace malveillante, relatif au groupe de la gamme. Dans les victimes d'attaques figuraient des entreprises de Russie. Les appels à l'infrastructure des intrus de l'Europe, de l'Amérique du Nord, du Moyen-Orient et de l'Asie, qui peuvent également être enregistrées sur des victimes possibles dans ces régions.
Lorsque l'une des organisations touchées a demandé de l'aide, les experts de la Société trouvés sur le réseau Backdoor menaNeedle, observé précédemment dans les attaques de Lazarus sur les sociétés de cryptocurrence. L'infection initiale s'est produite par le phishing cible: les attaquants ont paru sur un thème pertinent - la prévention et le diagnostic de la coronavirus infections. L'un des détails les plus intéressants de cette campagne est lié à la façon dont les attaquants ont surmonté la segmentation du réseau. Le réseau de l'entreprise attaquée a été divisé en deux segments: une entreprise (réseau, des ordinateurs ayant accès à Internet) et isolé (réseau, ordinateurs contenant des données confidentielles et n'a pas accès à Internet). Un attaquant a réussi à obtenir des informations d'identification du routeur utilisé par les administrateurs pour connaître les réseaux isolés et des entreprises. En modifiant ses paramètres et en installant des logiciels supplémentaires, ils ont pu la transformer en hébergement de logiciels malveillants dans le réseau de l'entreprise. Après cela, le routeur a été utilisé pour pénétrer dans le segment, les sortira et les envoyer au serveur de commandes.
«Lazare n'est pas seulement un groupe de surcharge, mais aussi très avancé. Les assaillants non seulement surmontent la segmentation du réseau, mais ont également mené une étude approfondie pour créer un bulletin de phishing personnalisé et efficace et des outils personnalisés permettant de transmettre des informations volées à un serveur distant. Les entreprises doivent faire des mesures de sécurité supplémentaires pour protéger ce type de campagnes de cybershposionage », explique Vyacheslav Kopeens, le Senior Expert Kaspersky ICS CERT.