Hackeri zo známej severokórejskej APT skupiny Lazarus rozbehli phishingovú kampaň proti cieľom sídliacim v Južnej Kórey.
Tentokrát sa rozhodli skryť škodlivý súbor do obrázkov. Juhokórejské organizácie sú pravidelným terčom severokórejských hackerov. V najnovšej kampani zdokumentovanej spoločnosťou Malwarebytes používajú na záškodnú činnosť škodlivý súbor v obrázkoch. Celá phishingová kampaň pravdepodobne začala rozposlaním e-mailov, ktoré obsahovali škodlivý dokument balíka Microsoft Office. Príjemca e-mailu je požiadaný, aby povolil makrá na prezeranie súboru. Makro následne zobrazí vyskakovacie okno, ktoré o sebe tvrdí, že je staršou verziou balíka Office, no v skutočnosti spustí škodlivý HTA súbor skomprimovaný do formátu ZLIB v rámci celkového súboru PNG obrázka.
Počas dekomprimácie sa PNG súbor prevedie do formátu BMP a po jeho spustení sa v pozadí načíta tzv. RAT – trójsky kôň umožňujúci vzdialený prístup do zariadenia. Ten je na zasiahnutom zariadení uložený ako „AppStore.exe.“ Trójsky kôň sa následne dokáže prepojiť s riadiacim serverom, prijímať príkazy a spustiť kód v rozhraní shell. Celá komunikácia medzi škodlivým softvérom a riadiacim serverom je šifrovaná. Podľa výskumníkov ide o šikovnú metódu, ako obísť bezpečnostné mechanizmy, ktoré inak dokážu rozpoznať vložené objekty v obrázkoch. Trik má spočívať v tom, že PNG obrázok obsahuje škodlivý súbor ZLIB, ktorý nie je možné zachytiť klasickou statickou detekciou.
Skupina Lazarus je notorická štátom sponzorovaná APT skupina, ktorá existuje už od roku 2009. Najčastejšie cieli na juhokórejské, japonské alebo americké terče a je zodpovedná za viaceré kyberútoky proti bankám či kryptoburzám. Okrem toho sa jej však pripisuje zodpovednosť za vznik ransomvéru WannaCry. Ten v roku 2017 infikoval vyše 237-tisíc zariadení, čo z incidentu robí jeden z najrozsiahlejších útokov ransomvérom v histórii. Kvôli jeho útokom museli dočasne pozastaviť výrobu napríklad automobilky Nissan a Renault. Nevyhol sa pritom ani Slovensku – zasiahol Nitriansku nemocnicu.