Фахівці з кібербезпеки «Лабораторії Касперського» виявили та детально проаналізували масштабну кібератаку на бізнес-сектор Південної Кореї. Операція, що отримала назву «SyncHole», демонструє високий рівень технічної складності та глибоке розуміння зловмисниками специфіки місцевої ІТ-інфраструктури.
Масштаб та вектори атаки
За даними дослідження, цільовим атакам піддалися щонайменше шість великих південнокорейських компаній з різних галузей економіки. Серед постраждалих – організації, що спеціалізуються на розробці програмного забезпечення, фінансових послугах, виробництві напівпровідників та телекомунікаціях. Експерти припускають, що реальна кількість скомпрометованих систем може бути значно більшою.
Технічні особливості кібератаки
Хакерське угруповання Lazarus застосувало комплексний підхід до компрометації цільових систем, що включав два основні етапи. Спочатку здійснювалося зараження легітимних новинних ресурсів за методикою watering hole, після чого активувалася експлуатація вразливостей у локальному програмному забезпеченні – Innorix Agent та Cross EX.
Особливості використаного шкідливого ПЗ
В ході операції застосовувалися два типи малварі: ThreatNeedle та SIGNBT. Зловмисники використовували легітимний процес SyncHost.exe як підпроцес Cross EX для впровадження шкідливого коду. Для точного таргетування жертв застосовувалися серверні скрипти, що здійснювали фільтрацію та перенаправлення цільового трафіку.
Еволюція тактики атак
Після виявлення перших випадків зараження група Lazarus модифікувала свою стратегію, перейшовши від використання ThreatNeedle до більш агресивного застосування SIGNBT. Це призвело до розширення кола потенційних цілей та збільшення інтенсивності атак.
Даний інцидент яскраво демонструє критичні ризики, пов’язані з використанням застарілого та специфічного регіонального програмного забезпечення. Особливу увагу слід приділити браузерним плагінам та допоміжним інструментам, що працюють з підвищеними привілеями. Організаціям рекомендується регулярно оновлювати ПЗ, проводити аудит безпеки використовуваних рішень та впроваджувати багаторівневу систему захисту від кіберзагроз.
