Lazarus – это давно сложившаяся кибергруппировка, которая занимается кибершпионажем и киберсаботажем как минимум с 2009 г. В последние годы группа проводит кампании против финансовых организаций по всему миру. В августе мы сообщали, что группа успешно взломала сети нескольких банков, внедрилась в несколько глобальных бирж криптовалют и финансово-технических компаний. Помогая одному из клиентов справиться с киберинцидентом, мы узнали, что атака осуществлялась через приложение для торговли криптовалютами, которое было заражено троянцем; компании порекомендовали его по электронной почте.
Ничего не подозревающий сотрудник загрузил стороннее приложение с легитимного на вид веб-сайта, и таким образом заразил компьютер зловредом Fallchill – это старый инструмент, который Lazarus недавно опять стал использовать.
Судя по всему, Lazarus нашел способ создать легитимный на вид сайт и внедрить вредоносный компонент в «легитимно выглядящий» механизм обновления ПО – в данном конкретном случае была создана целая поддельная цепочка поставок вместо заражения настоящей. В любом случае, успешная компрометация цепочки поставок означает, что группа Lazarus будет продолжать использовать этот метод атаки
https://securelist.ru/it-threat-evolution-q3-2018/92596/