Новые атаки Lazarus: злоумышленники заражали компании через новостные сайты и финансовое ПО

Эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») выявили новую сложную целевую кампанию группы Lazarus. Злоумышленники атаковали организации в Южной Корее, используя сочетание двух основных методов: сначала они заражали системы через легитимные новостные сайты (тактика watering hole), а затем эксплуатировали уязвимость в широко используемом южнокорейском ПО для передачи файлов Innorix Agent. Кампания получила название Операция SyncHole. Атакам подверглись как минимум шесть компаний из Южной Кореи — в сферах программного обеспечения, ИТ, финансов, производства полупроводников и телекоммуникаций. При этом количество жертв может быть больше. Программное обеспечение, использованное в этой кампании, обновлено, уязвимости устранены.

В ходе анализа кампании Операция SyncHole эксперты Kaspersky GReAT также обнаружили в Innorix Agent ещё одну уязвимость нулевого дня, которой не успели воспользоваться злоумышленники. Брешь потенциально давала возможность осуществлять загрузку произвольных файлов в Innorix Agent. «Лаборатория Касперского» оперативно сообщила о проблемах Агентству по интернету и кибербезопасности Южной Кореи (KrCERT/CC), а также вендору. После были выпущены необходимые обновления, а найденной уязвимости присвоен идентификатор KVE-2025-0014.

С чего начинались атаки

Группа Lazarus использовала в качестве приманки заражённые новостные сайты, которые посещает большое количество человек (данная техника называется watering hole). Чтобы отобрать среди них интересующих злоумышленников пользователей, атакующие фильтровали трафик с помощью скрипта на стороне сервера и выборочно перенаправляли посетителей на подконтрольные сайты. После, в результате ряда технических действий, запускалась цепочка заражения.

Использование уязвимости в южнокорейском ПО

На ранних этапах атаки злоумышленники эксплуатировали уязвимость первого дня в Innorix Agent — это обязательное программное обеспечение для выполнения ряда финансовых и административных операций на южнокорейских сайтах. Расчёт атакующих заключался в следующем: это ПО установлено на множестве корпоративных и частных компьютеров в Южной Корее, и любой пользователь с уязвимой версией может стать потенциальной жертвой. Эксплуатируя уязвимость в Innorix Agent, злоумышленники смогли продвигаться по внутренней сети после проникновения в неё, а затем установить дополнительные вредоносные программы на целевой хост. В результате группа Lazarus смогла запустить свои зловреды, в том числе бэкдор ThreatNeedle и загрузчик LPEClient, которые существенно расширили возможности злоумышленников во внутренних сетях организаций.

Как обнаружили атаки

Ещё до того, как в Innorix Agent были обнаружены уязвимости, эксперты «Лаборатории Касперского» зафиксировали использование ThreatNeedle и SIGNBT в корпоративной сети одной из южнокорейских компаний. Вредоносное ПО было запущено в памяти легитимного процесса SyncHost.exe. Зловред работал как подпроцесс Cross EX, легитимного южнокорейского программного обеспечения, которое помогает обеспечивать работу защитных инструментов в различных браузерных средах.

Анализ показал, что похожий способ использовался для атак ещё на пять организаций в Южной Корее. В каждом случае цепочка заражения, предположительно, запускалась за счёт некой уязвимости в Cross EX. Можно предположить, что именно это и стало отправной точкой заражения в рамках всей кампании. Недавно KrCERT опубликовал уведомление о безопасности, подтверждающее наличие уязвимости в Cross EX, которая позднее была устранена.

«В кибербезопасности важен проактивный подход: углублённый анализ атаки позволил нам выявить ещё одну уязвимость — причём до того, как появились признаки её активного использования злоумышленниками. Раннее обнаружение подобных угроз помогает предотвратить масштабную компрометацию систем», — комментирует Суджон Рю (Sojun Ryu), эксперт Kaspersky GReAT.

«Анализ атак указывает на серьёзную проблему в области кибербезопасности: использование сторонних плагинов для браузеров и вспомогательных инструментов значительно повышает вероятность атаки, особенно в инфраструктурах, где применяется устаревшее ПО или софт с региональной спецификой. Такие компоненты часто используют в работе повышенные привилегии, остаются в памяти и тесно взаимодействуют с процессами браузера, что делает их привлекательной и зачастую более лёгкой мишенью для злоумышленников, чем современные браузеры», — объясняет Игорь Кузнецов, директор Kaspersky GReAT.