Эксперты «Лаборатории Касперского» раскрыли детали масштабной кибератаки на южнокорейский бизнес-сектор, получившей название «Операция SyncHole». Хакерская группировка Lazarus провела серию сложных целевых атак, используя комбинацию методов watering hole и эксплуатации уязвимостей в популярном локальном программном обеспечении.
Масштаб и цели атаки
Жертвами кибератак стали как минимум шесть южнокорейских компаний из различных секторов экономики, включая разработку ПО, ИТ-сферу, финансовый сектор, производство полупроводников и телекоммуникации. Исследователи предполагают, что реальное количество пострадавших организаций может быть значительно больше.
Механизм проведения атак
Злоумышленники использовали двухэтапный подход к компрометации целевых систем. На первом этапе они заражали легитимные новостные сайты (тактика watering hole), а затем эксплуатировали уязвимости в программах Innorix Agent и Cross EX, широко используемых в южнокорейском сегменте интернета.
Особенности использования локального ПО
Специфика южнокорейского интернета требует установки специального защитного ПО для доступа к онлайн-банкингу и государственным сервисам. Группировка Lazarus продемонстрировала глубокое понимание этой особенности, разработав стратегию атак, основанную на уязвимостях в подобном программном обеспечении.
Техническая реализация атак
В ходе операции использовалось вредоносное ПО ThreatNeedle и SIGNBT. Злоумышленники внедряли малварь через легитимный процесс SyncHost.exe, используя его как подпроцесс Cross EX. Для фильтрации целевого трафика применялись серверные скрипты, перенаправляющие выбранных пользователей на подконтрольные ресурсы.
Эволюция атак
После обнаружения первых случаев заражения Lazarus модифицировала свою тактику, перейдя от использования ThreatNeedle к более агрессивному применению SIGNBT. Это привело к расширению круга целей и увеличению частоты атак.
Данный инцидент подчеркивает критическую уязвимость инфраструктур, использующих устаревшее или специфическое региональное ПО. Особую опасность представляют браузерные плагины и вспомогательные инструменты, работающие с повышенными привилегиями и находящиеся в постоянном взаимодействии с процессами браузера. Организациям рекомендуется регулярно обновлять программное обеспечение и проводить аудит безопасности используемых решений, особенно тех, что требуют повышенных системных привилегий.
