I midten av 2020 fant Kaspersky Lab-ekspertene en ny ondsinnet kampanje i Lasarus-gruppen, som spesialiserer seg på komplekse målangrep. Angriperne utvidet sine porteføljeangrep på forsvarsindustrien, hvor de brukte den ondsinnede trusselnålen, knyttet til manuskryptklyngen. I ofrene for angrep var bedrifter fra Russland. Appellerer til infrastrukturen til inntrengere fra Europa, Nord-Amerika, Midtøsten og Asia, som kan snakke om mulige ofre i disse regionene, kan også registreres.
Når en av de berørte organisasjonene søkte om hjelp, funnet selskapets eksperter på nettverket bakdør trusselen, tidligere sett i Lazarus-angrepene på Cryptocurrency-selskapene. Den første infeksjonen skjedde av målphishing: angriperne gjorde en innsats på et relevant tema - forebygging og diagnose av koronavirusinfeksjon. En av de mest interessante detaljene i denne kampanjen er relatert til hvordan angriperne overgår nettverkssegmenteringen. Nettverket av det angrepede foretaket ble delt inn i to segmenter: et selskap (nettverk, datamaskiner som har tilgang til Internett) og isolert (nettverk, datamaskiner som inneholder konfidensielle data og har ikke tilgang til Internett). En angriper klarte å få legitimasjon fra ruteren som brukes av administratorer for tilkoblinger til isolerte og bedriftsnettverk. Ved å endre innstillingene og installere tilleggsprogramvare på den, var de i stand til å snu den til hosting av ondsinnet programvare i bedrifts nettverk. Etter det ble ruteren brukt til å trenge inn i segmentet, utdata fra det og sende dem til kommandoserveren.
"Lazarus er ikke bare en supercharge-gruppe, men også veldig avansert. De angrisjonene overvinne ikke bare nettverkssegmentering, men gjennomførte også en grundig studie for å skape et personlig og effektivt phishing-nyhetsbrev og tilpassede verktøy for å sende stjålet informasjon til en ekstern server. Bedrifter må gjøre ytterligere sikkerhetstiltak for å beskytte mot denne typen cybershpionage-kampanjer, "forklarer Vyacheslav Kopeans, Senior Expert Kaspersky ICS Cert.