Sikkerhedsforskere rapporterede den 2. februar, at de har opdaget en cyberangrebskampagne fra den nordkoreanske Lazarus Group, rettet mod medicinsk forskning og energiorganisationer med spionageformål.
Tilskrivningen blev foretaget af trusselsintelligensanalytikere for WithSecure, som opdagede kampagnen, mens han kørte en hændelse ned mod en kunde, som den mistænkte var et ransomware-angreb. Yderligere efterforskning - og et opsving fra Lazarus-besætningen (OpSec) hjalp dem med at afsløre beviser for, at det faktisk var en del af en bredere statssponsoreret efterretningsindsamlingskampagne, der ledes af Nordkorea.
"Dette var oprindeligt mistænkt for at være et forsøg på BianLian ransomware-angreb," siger Sami Ruohonen, seniorforsker for trusselsintelligens for WithSecure. »De beviser, vi indsamlede, pegede hurtigt i en anden retning. Og efterhånden som vi indsamlede mere, blev vi mere sikre på, at angrebet blev udført af en gruppe med forbindelse til den nordkoreanske regering, hvilket til sidst førte til, at vi med sikkerhed konkluderede, at det var Lazarus-gruppen."
Fra ransomware til cyberspionage
Hændelsen, der førte dem til denne aktivitet, begyndte gennem et indledende kompromis og privilegie-eskalering, der blev opnået gennem udnyttelse af kendte sårbarheder i en ikke-patchet Zimbra-mailserver i slutningen af august. Inden for en uge havde trusselsaktørerne eksfiltreret mange gigabyte data fra postkasserne på den server. I oktober bevægede angriberen sig på tværs af netværket og brugte living-off-the-land (LotL) teknikker langs vejen. I november begyndte de kompromitterede aktiver at pege på Koboltstrejke kommando-og-kontrol (C2) infrastruktur, og i den periode eksfiltrerede angribere næsten 100 GB data fra netværket.
Forskerholdet kaldte hændelsen "Ingen ananas" for en fejlmeddelelse i en bagdør, der blev brugt af de slemme fyre, som vedhæftede når data overskred segmenteret bytestørrelse.
Forskerne siger, at de har en høj grad af tillid til, at aktiviteten stemmer overens med Lazarus-gruppens aktivitet baseret på malware, TTP'er og et par resultater, der inkluderer en nøglehandling under dataeksfiltreringen. De opdagede en angriber-styret web-shell, der i kort tid koblede til en IP-adresse tilhørende Nordkorea. Landet har færre end tusind sådanne adresser, og først spekulerede forskerne på, om det var en fejl, før de bekræftede, at det ikke var det.
"På trods af denne OpSec-fejl demonstrerede skuespilleren godt håndværk og formåede stadig at udføre velovervejede handlinger på nøje udvalgte endepunkter," siger Tim West, leder af trusselsefterretninger for WithSecure.
Efterhånden som forskerne blev ved med at grave i hændelsen, var de også i stand til at identificere yderligere ofre for angrebet baseret på forbindelser til en af C2-serverne kontrolleret af trusselsaktørerne, hvilket tyder på en meget bredere indsats end oprindeligt antaget, i overensstemmelse med spionagemotiver. Andre ofre omfattede et sundhedsforskningsfirma; en producent af teknologi, der bruges i energi-, forskning-, forsvars- og sundhedssektoren; og en kemiingeniørafdeling på et førende forskningsuniversitet.
Infrastrukturen, som forskerne har observeret, er blevet etableret siden maj sidste år, og de fleste af de observerede brud fandt sted i tredje kvartal af 2022. Baseret på kampagnens victimologi mener analytikerne, at trusselsaktøren bevidst målrettede forsyningskæden for det medicinske forskning og energi vertikaler.
Lazarus bliver aldrig nede længe
Lazarus er en langvarig trusselsgruppe, der i vid udstrækning menes at blive drevet af Nordkoreas udenrigsefterretnings- og rekognosceringsbureau. Trusselsforskere har fastgjort aktivitet til gruppen, der går så langt tilbage som 2009, med konsekvente angreb, der stammer fra den gennem årene siden, med kun korte perioder med at gå på jorden imellem.
Motiverne er både økonomiske — det er vigtigt indtægtsgenererende for regimet - og spionrelateret. I 2022 dukkede der adskillige rapporter op om avancerede angreb fra Lazarus, herunder målretning af Apples M1-chip, såvel som falsk jobopslag svindel. Et lignende angreb i april sidste år sendt ondsindede filer til mål inden for kemisk sektor og IT, også forklædt som jobtilbud til yderst attraktive drømmejobs.
I mellemtiden sidste uge bekræftede FBI at Lazarus Group-trusselsaktører var ansvarlige for tyveriet sidste juni af 100 millioner dollars af virtuel valuta fra det tværkædede kommunikationssystem fra blockchain-firmaet Harmony, kaldet Horizon Bridge. FBI's efterforskere rapporterer, at gruppen brugte Railgun-privatlivsprotokollen tidligere i januar til at hvidvaske Ethereum for mere end 60 millioner dollars, der blev stjålet under tyveriet med Horizon Bridge. Myndighederne siger, at de var i stand til at indefryse "en del af disse midler."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://www.darkreading.com/ics-ot/lazarus-group-rises-again-gather-intelligence-energy-healthcare-firms
- $ 100 millioner
- 2022
- 7
- a
- I stand
- opnået
- tværs
- Handling
- aktioner
- aktivitet
- faktisk
- Yderligere
- adresse
- adresser
- fremskreden
- mod
- Analytikere
- ,
- Apple
- Aktiver
- angribe
- Angreb
- forsøgt
- attraktivt
- AUGUST
- Myndigheder
- tilbage
- bagdør
- Bad
- baseret
- før
- begyndte
- være
- Tro
- mellem
- blockchain
- Blockchain firma
- brud
- BRIDGE
- bredere
- kontor
- kaldet
- Kampagne
- omhyggeligt
- kæde
- kemikalie
- Kommunikation
- selskab
- kompromis
- Kompromitteret
- konkluderer
- tillid
- sikker
- trygt
- tilsluttet
- Tilslutninger
- betragtes
- konsekvent
- kontrolleret
- land
- Par
- Cross-Kæde
- Valuta
- kunde
- Cyber
- Cyber angreb
- data
- Dating
- Forsvar
- Degree
- demonstreret
- Afdeling
- opdaget
- forskellige
- retning
- opdaget
- ned
- drøm
- døbt
- i løbet af
- tidligere
- indsats
- opstået
- energi
- Engineering
- fejl
- optrapning
- spionage
- etableret
- ethereum
- ethereum stjålet
- til sidst
- bevismateriale
- eksfiltration
- udnyttelse
- FAIL
- FBI
- Filer
- finansielle
- Firm
- firmaer
- Fornavn
- udenlandsk
- Frys
- fra
- fonde
- yderligere
- indsamling
- gå
- godt
- Regering
- Ground
- gruppe
- Harmoni
- hoved
- sundhedspleje
- heist
- hjulpet
- Høj
- stærkt
- horisont
- horisont bro
- HTTPS
- identificere
- vigtigt
- in
- hændelse
- omfatter
- medtaget
- Infrastruktur
- initial
- i første omgang
- Intelligens
- med vilje
- undersøgelse
- Efterforskere
- IP
- IP-adresse
- IT
- januar
- Job
- Karriere
- holde
- Nøgle
- kendt
- korea
- koreansk
- Efternavn
- Lazarus
- Lazarus gruppe
- førende
- Led
- lavet
- malware
- lykkedes
- Fabrikant
- mange
- medicinsk
- Medicinsk forskning
- besked
- million
- fejltagelse
- mere
- mest
- flytning
- netværk
- Nord
- Nordkorea
- november
- talrige
- oktober
- Tilbud
- ONE
- operationelle
- organisationer
- oprindeligt
- Andet
- del
- Udfør
- periode
- perioder
- Place
- plato
- Platon Data Intelligence
- PlatoData
- Beskyttelse af personlige oplysninger
- protokol
- formål
- Kvarter
- hurtigt
- ransomware
- Ransomware angreb
- indberette
- rapporteret
- Rapporter
- forskning
- forsker
- forskere
- ansvarlige
- Stiger
- Kør
- kører
- sektor
- sikkerhed
- valgt
- senior
- Servere
- Shell
- Kort
- siden
- Størrelse
- Trods
- firkanter
- påbegyndt
- Stadig
- stjålet
- sådan
- forsyne
- forsyningskæde
- systemet
- tager
- rettet mod
- mål
- hold
- Teknologier
- Horisontbroen
- tyveri
- Tredje
- tænkte
- trussel
- trusselsaktører
- Gennem
- Tim
- tid
- til
- afdække
- universitet
- us
- vertikaler
- ofre
- Virtual
- virtuel valuta
- Sårbarheder
- web
- uge
- Vest
- som
- mens
- bredt
- bredere
- inden for
- værd
- år
- zephyrnet
