Em meados de 2020, os especialistas do Kaspersky Lab encontraram uma nova campanha maliciosa do Grupo Lazarus, especializada em ataques alvo complexos. Os atacantes expandiram seus ataques de portfólio na indústria de defesa, na qual eles usaram a agulha de ameaça maliciosa, relacionando-se ao cluster de Manuscrypt. Nas vítimas de ataques eram empresas da Rússia. Apela à infraestrutura de intrusos da Europa, América do Norte, Oriente Médio e Ásia, que podem falar sobre possíveis vítimas nessas regiões também podem ser registradas.
Quando uma das organizações afetadas solicitou ajuda, os especialistas da empresa foram encontrados na ameaça de backdoor de rede, observados anteriormente nos ataques de Lazarus sobre empresas de criptocorrência. A infecção inicial ocorreu pelo phishing alvo: os atacantes fizeram uma aposta em um tema relevante - a prevenção e diagnóstico de infecção por coronavírus. Um dos detalhes mais interessantes desta campanha está relacionado a como os invasores superam a segmentação da rede. A rede da empresa atacada foi dividida em dois segmentos: uma empresa (rede, computadores que têm acesso à Internet) e isolados (rede, computadores que contêm dados confidenciais e não têm acesso à Internet). Um invasors conseguiu obter credenciais do roteador usado pelos administradores para conexões para redes isoladas e corporativas. Ao alterar suas configurações e instalar software adicional, eles foram capazes de transformá-lo na hospedagem de softwares maliciosos na rede da empresa. Depois disso, o roteador foi usado para penetrar no segmento, saída dele e enviá-los para o servidor de comando.
"O Lázaro não é apenas um grupo de sobrecarga, mas também muito avançado. Os atacantes não apenas superam a segmentação de rede, mas também realizaram um estudo completo para criar uma boletim de phishing personalizada e eficiente e ferramentas personalizadas para transmitir informações roubadas para um servidor remoto. As empresas precisam fazer medidas de segurança adicionais para proteger contra esse tipo de campanhas cibernéticas ", explica o Vyacheslav Kopeans, o especialista sênior Kaspersky ICS Cert.