Lazarus: DeathNote kampány
A Lazarus csoport egy nagy horderejű koreai nyelvű fenyegetettség szereplő. A Kaspersky korábban is közölt információkat a csoport egyes klasztereinek kapcsolatairól. Ebben a blogban egy aktív fürtre összpontosítanak, amelyet DeathNote-nak neveztek el, mivel a további hasznos anyagok letöltéséért felelős rosszindulatú program neve Dn.dll vagy Dn64.dll. Ez a fenyegetés Operation DreamJob vagy NukeSped néven is ismert. A Lazarus csoport kriptovaluta-üzletághoz kapcsolódó csalidokumentumokat használt, például kérdőívet adott kriptovaluta vásárlásáról, bevezetőt egy konkrét kriptovaluta, valamint egy bitcoin bányászati vállalat bemutatása. Miután az áldozat megnyitja a dokumentumot és engedélyezi a makrót, a rosszindulatú Visual Basic Script kivonja a beágyazott letöltő rosszindulatú programot, és betölti azt meghatározott paraméterekkel. Ebben a kezdeti felfedezésben a színész kétféle másodlagos rakományt használt. Az első egy manipulált szoftver, amely rosszindulatú hátsó ajtót tartalmaz, míg a második egy tipikus hátsó ajtó többlépcsős bináris fertőzési folyamattal.