Перешёл по ссылке — открыл доступ к системе. Lazarus возвращается в игру

Watering hole возвращается — и снова успешно: Lazarus запустил новую атаку

Эксперты «Лаборатории Касперского» зафиксировали целевую киберкампанию хакерской группы Lazarus против организаций в Южной Корее. Атака проходила в два этапа: сначала заражались популярные новостные сайты (техника watering hole), затем использовалась уязвимость в программном обеспечении Innorix Agent — утилите для передачи файлов, применяемой в финансовом и административном секторе.

Атака получила название Операция SyncHole. Под удар попали как минимум шесть компаний из IT, финансов, телекоммуникаций и производства полупроводников. Заражённые пользователи перенаправлялись с новостных сайтов на вредоносные ресурсы, где происходила дальнейшая компрометация.

Исследователи также нашли уязвимость нулевого дня в Innorix Agent, которая позволяла загружать произвольные файлы. Она была оперативно закрыта и получила идентификатор KVE-2025-0014.

В ходе атаки применялись вредоносные инструменты ThreatNeedle и LPEClient, а также запуск через легитимные процессы, включая SyncHost.exe и Cross EX — последнее использовалось для обхода защиты в браузерах. В результате подтверждено заражение как минимум шести компаний.

KrCERT/CC и разработчики ПО выпустили обновления и устранили выявленные уязвимости.