Специалисты из команды GReAT обнаружили, что группа Lazarus провела новую атаку на южнокорейские компании. В результате пострадали шесть организаций из разных отраслей. Атака получила название Операция SyncHole.
Злоумышленники заразили популярные новостные сайты, используя тактику watering hole. Они разместили вредоносный код на этих сайтах, чтобы заразить пользователей, которые посещают эти ресурсы. Затем они перенаправляли интересных посетителей на свои серверы, где запускалась цепочка заражения.
Основным элементом атаки была уязвимость в программном обеспечении Innorix Agent, которое используется на многих южнокорейских веб-сайтах. Это позволило злоумышленникам попасть во внутреннюю сеть компаний и установить свои инструменты.
Эксперты также обнаружили ещё одну уязвимость в Innorix Agent, которая могла позволить злоумышленникам загружать произвольные файлы. Эта уязвимость была устранена после обновления программного обеспечения.
Кроме того, злоумышленники использовали вредоносные программы ThreatNeedle и SIGNBT, которые были обнаружены в корпоративной сети одной из компаний. Они маскировались под обычные процессы, чтобы не вызвать подозрений.
Этот случай подчеркивает опасность сторонних плагинов и программного обеспечения, особенно если они имеют уязвимости. Проактивный подход к анализу атак помогает выявлять уязвимости до того, как их начнут активно использовать.
© KiberSec.ru – 24.04.2025, обновлено 24.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
