بررسی چگونگی حمله‌های سایبری گروه هکری لازاروس

محققان امنیتی ترند میکرو (Trend Micro)، به بررسی حمله‌های اخیر گروه هکری لازاروس (Lazarus) به بنگاه‌های اقتصادی پرداختند. فعالیت این گروه هکری در بین سال‌های ۲۰۱۴ تا ۲۰۱۵ میلادی، به‌صورت چشمگیری افزایش یافت؛ این گروه از بدافزارهای پیشرفته در حمله‌های خود استفاده می‌کند.

اولین فعالیت‌های گروه هکری لازاروس به سال ۲۰۰۹ یا حتی ۲۰۰۷ میلادی بازمی‌گردد. محققان امنیتی حمله به بانک‌ها ازجمله بانک بنگلادش را به لازاروس کره شمالی نسبت می‌دهند. در آخرین حمله به بنگاه‌های اقتصادی، این گروه هکری با پیاده‌سازی حمله گودال آب (Watering hole) اقدام به گسترش تروجان خود به نام RATANKBA می‌کردند.

بدافزار RATANKBA تنها یکی از بدافزارهای گروه هکری لازاروس است. این بدافزار از سال ۲۰۱۶ میلادی فعال بوده و در حمله‌های اخیر این گروه هکری نیز نقش داشته است. نسخه‌ای که در سال ۲۰۱۷ میلادی شناسایی شد به نام BKDR_RATANKBA.ZAEL–A شناخته می‌شود. این بدافزار به‌جای استفاده از روش سنتی فایل اجرایی PE از پاورشل (PowerShell) استفاده می‌کند.

محققان امنیتی دریافته‌اند این گروه هکری از سرورهایی که جاسوسان سایبری به‌صورت معمول استفاده می‌کنند، به‌منظور ذخیره موقت داده خود استفاده می‌کنند؛ هم‌چنین مشخص شده است که حدود ۵۵ درصد قربانی‌های این گروه هکری متعلق به کشور هند و همسایه‌های آن هستند. بیشتر قربانی‌ها از نرم‌افزارهای اینترپرایز مایکروسافت استفاده نمی‌کنند و تنها حدود ۵ درصد از ویندوز اینترپرایز مایکروسافت استفاده می‌کنند.

آی.پی (IP) افراد قربانی نیز بیشتر مربوط به سه شرکت بزرگ توسعه نرم‌افزاری مبتنی بر وب در کشور هند و یک شرکت در کره جنوبی است. نحوه گسترش بدافزار نیز با استفاده از فایل‌های آفیس مخرب است؛ این فایل‌ها دارای موضوعاتی مانند پول‌های مجازی و توسعه نرم‌افزاری است.