ESET нашли новые следы деятельности хакеров из Lazarus. На этот раз хакеры начали атаковать онлайн-казино в Центральной Америке.
Lazarus получила известность после кибератаки на Sony Pictures Entertainment в 2014 году. После чего хакеры успели отметиться вирусной эпидемией Wannacry, атаки на банки в Польше и Мексике, фишинговые атаки на подрядчиков Министерства обороны США и др.
ESET нашли оставленные хакерами следы на серверах и рабочих станциях ИТ-сети онлайн-казино в Центральной Америке, и установили их связь с Lazarus. Так, например, хакеры использовали бэкдор Win64/NukeSped.W, поддерживающий 20 команд, которые совпадают с функциями ранее изученных образцов Lazarus. Второй – консольное приложение Win64/NukeSped.AB. Анализ подтвердил, что этот файл связан с ПО, используемым в атаках на польские и мексиканские объекты.
Данные телеметрии ESET, а также одновременное использование Win32/KillDisk.NBO и других известных инструментов Lazarus в зараженной сети указывают на то, что вайпер развернули именно хакеры Lazarus.
Антивирусные продукты ESET детектируют вредоносные программы группы как Win32/NukeSped и Win64/NukeSped. Они использовались в сочетании с двумя вариантами деструктивного ПО Win32/KillDisk.NBO.