TM_292

12 25|5|2023 #292 Η Apple ανακοίνωσε την Τρίτη 24 Μαΐου ότι έχει συνάψει συμ- φωνία αξίας πολλών δισεκατομμυρίων δολαρίων με την εται- ρεία κατασκευής chip Broadcom για τη χρήση chip, τα οποία θα είναι κατασκευασμένα στις Ηνωμένες Πολιτείες. «Στο πλαίσιο της πολυετούς συμφωνίας, η Broadcom θα αναπτύξει εξαρτήματα ραδιοσυχνοτήτων 5G με την Apple που θα σχεδιαστούν και θα κατασκευαστούν σε πολλές εγκατα- στάσεις των ΗΠΑ, συμπεριλαμβανομένου του Fort Collins, στο Κολοράντο, όπου η Broadcom έχει ένα μεγάλο εργοστάσιο», δήλωσε αναφορικά η Apple. Η γνωστή ομάδα Lazarus, που βρίσκε- ται πίσω από πολλές κυβερνοεπιθέσεις ανά τον κόσμο την τελευταία δεκαετία, φέρεται να στοχεύει σε ευάλωτες εκ- δόσεις διακομιστών Microsoft Internet Information Services (IIS) με σκοπό την ανάπτυξη κακόβουλου λογισμικού σε στοχευμένα συστήματα. Η καταγραφή των επιθέσεων αυτών προέκυψε από το AhnLab Security Emergency Response Center (ASEC), το οποίο περιγράφει λεπτομερώς τη συνε- χιζόμενη κατάχρηση τεχνικών παράλλη- λης φόρτωσης DLL από την προηγμένη επίμονη απειλή (APT) για την ανάπτυξη κακόβουλου λογισμικού. «Οι δράστες τοποθετούν ένα κακόβου- λο DLL (msvcr100.dll) στην ίδια διαδρο- μή φακέλου με μια κανονική εφαρμογή (Wordconv.exe) μέσω της διεργασίας του διακομιστή ιστού Windows IIS, w3wp. exe», εξήγησε το ASEC αναφορικά με τον τρόπο που εκτελείται η επίθεση. «Στη συνέχεια, δίνουν εντολής εκτέλεσης της κανονικής εφαρμογής για να ξεκινήσουν την εκτέλεση του κακόβουλου DLL». Η Lazarus, μια εξαιρετικά ικανή ομάδα hackers, εντοπίστηκε πρόσφατα να χρη- σιμοποιεί την ίδια τεχνική σε σχέση με την αλυσιδωτή επίθεση στην αλυσίδα εφοδιασμού στον πάροχο υπηρεσιών επικοινωνιών 3CX. Η κακόβουλη βιβλιοθήκη msvcr100. dll, από την πλευρά της, έχει σχεδιαστεί για την αποκρυπτογράφηση ενός κω- δικοποιημένου ωφέλιμου φορτίου, το οποίο στη συνέχεια εκτελείται στη μνή- μη. Το κακόβουλο λογισμικό λέγεται ότι αποτελεί παραλλαγή ενός παρόμοι- ου τεχνουργήματος που ανακαλύφθη- κε από την ASEC πέρυσι και το οποίο λειτουργούσε ως κερκόπορτα για την επικοινωνία με έναν ελεγχόμενο από τον δράστη διακομιστή. Η αλυσίδα επίθεσης περιελάμβανε ακόμη την εκμετάλλευση ενός καταρ- γημένου plugin ανοιχτού κώδικα του Notepad++ με την ονομασία Quick Color Picker για την παράδοση πρόσθετου κα- κόβουλου λογισμικού προκειμένου να διευκολυνθεί η κλοπή διαπιστευτηρίων. Η τελευταία εξέλιξη καταδεικνύει την ποικιλομορφία των επιθέσεων Lazarus και την ικανότητα της ομάδας να χρη- σιμοποιεί ένα εκτεταμένο σύνολο ερ- γαλείων κατά των θυμάτων για τη δι- εξαγωγή μακρόχρονων επιχειρήσεων κατασκοπείας. «Ειδικότερα, δεδομένου ότι η ομάδα Lazarus χρησιμοποιεί κατά κύριο λόγο την τεχνική DLL side-loading κατά τη διάρκεια των αρχικών διεισδύσεων, οι εταιρείες θα πρέπει να παρακολουθούν προληπτικά τις μη φυσιολογικές σχέσεις εκτέλεσης διεργασιών και να λαμβάνουν προληπτικά μέτρα για να αποτρέψουν την ομάδα απειλών από την εκτέλεση δραστηριοτήτων, όπως η διαρροή πλη- ροφοριών και η πλευρική μετακίνηση», δήλωσε η ASEC. Συμφωνία Apple - Broadcom για παραγωγή αμερικανικών chip H Lazarus στοχεύει σε εκδόσεις Microsoft ISS