Обнаружены очередные свидетельства связи между хакерами из КНДР и РФ

[Artifact]

Группировка Lazarus поддерживает тесные отношения с операторами Dridex и TrickBot.

Специалисты ИБ-компании Intel 471 https://public.intel471.com/blog/par...ybercriminals/связи между кибероперациями, приписываемые северокорейским и российским киберпреступникам.
По данным ИБ-экспертов, на северокорейской киберпреступной группировке Lazarus лежит ответственность за такие крупные инциденты, как атаки вымогательского ПО WannaCry, киберограбление банка Бангладеш, атаки на криптовалютные биржи и десятки правительственных и оборонных организаций по всему миру.
Как сообщают специалисты Intel 471, киберпреступники из КНДР поддерживают тесные отношения с русскоязычными коллегами, в том числе с операторами трояна Dridex и TrickBot. Оператором Dridex является группировка TA505 или https://www.securityweek.com/us-indi...elligence-ties , предположительно имеющая связь с Россией. Помимо прочего, она ответственна за кибератаки вымогательского ПО Locky, Bart и DoppelPaymer, а также вредоносного ПО Cobalt Strike, FlawedAmmyy, BackNet, ServHelper и SDBbot RAT. В свою очередь, русскоязычная группировка TrickBot является оператором трояна Dyre.
Согласно отчету Intel 471, вредоносное ПО, используемое исключительно северокорейскими хакерами, «скорее всего, доставляется через доступ к сетям, обеспечиваемый русскоязычными киберпреступниками».
И TA505, и TrickBot являются, по словам экспертов, группировками «первого эшелона», имеющими хорошую репутацию и пользующимися большим доверием в киберпреступном мире. То же самое касается и северокорейских хакеров.
TrickBot представляет собой сервис «вредоносное ПО как услуга» (malware-as-a-service, MaaS), доступ к которому предоставляется только доверенным клиентам.
«Как установили специалисты Intel 471, доступ к сервису могут получить только киберпреступники высшего уровня с проверенной репутацией. Репутация достигается путем покупки и продажи продуктов, товаров и услуг. Даже для того, чтобы узнать, с кем можно поговорить о доступе к TrickBot, нужно проявить себя и иметь хорошую репутацию на подпольных форумах», - сообщили исследователи.
Список доступного на подпольных форумах вредоносного ПО, которое использовалось северокорейскими хакерами, включает вымогательское ПО Hermes и базирующийся на его коде вымогатель Ryuk. Более того, предыдущие отчеты показали, что вредоносным ПО Lazarus заражены системы, ранее зараженные Emotet и TrickBot.
Согласно https://www.securitylab.ru/news/503387.phpNTT Security и SentinelOne, существует связь между TrickBot и доставкой используемого Lazarus вредоносного ПО PowerBrace и PowerRatankba. Скорее всего, отмечают исследователи, клиенты TrickBot связаны с северокорейскими хакерами.