Северокорейская хакерская группа Lazarus провела шпионскую кампанию против как минимум шести организаций в Южной Корее, используя атаку типа «водяной» и уязвимость в популярном файлообменном клиенте. Целями стали компании из сфер программного обеспечения, ИТ, финансов, телекоммуникаций и производства полупроводников.
По данным «Лаборатории Касперского», операция под кодовым названием SyncHole длилась с ноября 2024 по февраль 2025 года. Атака начиналась с компрометации легитимных южнокорейских сайтов, через которые жертвы перенаправлялись на поддельные страницы, маскирующиеся под известные сервисы, в том числе Cross EX — инструмент для онлайн-банкинга и взаимодействия с госуслугами.
С этих сайтов загружался вредоносный JavaScript, использовавший Cross EX для доставки бэкдора ThreatNeedle, способного выполнять десятки команд. Также применялись другие инструменты, такие как LPEClient, wAgent, Agamemnon и Innorix Abuser — последний эксплуатировал уязвимость в Innorix Agent. В некоторых случаях вместо ThreatNeedle использовался имплант SIGNBT и бэкдор Copperhedge.
Исследователи отметили, что в ходе анализа также была обнаружена ранее неизвестная уязвимость нулевого дня (KVE-2024-0014), позволяющая загружать произвольные файлы. Все данные были переданы южнокорейскому CERT, а вендоры выпустили обновления.
По совокупности признаков — включая инструменты, методы и временные метки — атака с высокой вероятностью приписывается Lazarus. Эксперты также отметили переход группы к более скрытным и настраиваемым средствам атаки.
Lazarus Group использует тактику ClickFix для распространения вредоносного ПО GolangGhost
