Il gruppo Lazarus si alza di nuovo, per raccogliere informazioni su energia e aziende sanitarie

I ricercatori della sicurezza il 2 febbraio hanno riferito di aver rilevato una campagna di attacco informatico da parte del gruppo nordcoreano Lazarus, mirata alla ricerca medica e alle organizzazioni energetiche per scopi di spionaggio. 

L'attribuzione è stata fatta dagli analisti dell'intelligence sulle minacce per WithSecure, che hanno scoperto la campagna mentre eseguiva un incidente contro un cliente che sospettava fosse un attacco ransomware. Ulteriori indagini - e un importante errore di sicurezza operativa (OpSec) da parte dell'equipaggio di Lazarus - li hanno aiutati a scoprire le prove che in realtà faceva parte di una più ampia campagna di raccolta di informazioni sponsorizzata dallo stato e diretta dalla Corea del Nord.

"Inizialmente si sospettava che si trattasse di un tentativo di attacco ransomware BianLian", afferma Sami Ruohonen, ricercatore senior di informazioni sulle minacce per WithSecure. “Le prove che abbiamo raccolto hanno rapidamente indicato una direzione diversa. E man mano che ne raccoglievamo di più, diventavamo più fiduciosi che l'attacco fosse stato condotto da un gruppo collegato al governo nordcoreano, portandoci infine a concludere con sicurezza che si trattava del gruppo Lazarus".

Dal ransomware allo spionaggio informatico

L'incidente che li ha portati a questa attività è iniziato con una compromissione iniziale e un'escalation dei privilegi che è stata ottenuta sfruttando le vulnerabilità note in un server di posta Zimbra senza patch alla fine di agosto. Nel giro di una settimana, gli autori delle minacce avevano esfiltrato molti gigabyte di dati dalle cassette postali su quel server. A ottobre, l'attaccante si muoveva lateralmente attraverso la rete e utilizzava tecniche di vita fuori terra (LotL). lungo la strada. A novembre, le risorse compromesse hanno iniziato a segnalare Colpo di cobalto infrastruttura di comando e controllo (C2) e in quel periodo di tempo gli aggressori hanno esfiltrato quasi 100 GB di dati dalla rete. 

Il team di ricerca ha soprannominato l'incidente "No Pineapple" per un messaggio di errore in una backdoor utilizzata dai cattivi, che ha aggiunto quando i dati superano la dimensione in byte segmentata.

I ricercatori affermano di avere un alto grado di fiducia che l'attività coincida con l'attività del gruppo Lazarus basata su malware, TTP e un paio di risultati che includono un'azione chiave durante l'esfiltrazione dei dati. Hanno scoperto una shell Web controllata da un aggressore che per un breve periodo si è collegata a un indirizzo IP appartenente alla Corea del Nord. Il paese ha meno di mille indirizzi di questo tipo e all'inizio i ricercatori si sono chiesti se fosse un errore, prima di confermare che non lo era.

"Nonostante il fallimento di OpSec, l'attore ha dimostrato un buon mestiere ed è comunque riuscito a eseguire azioni ponderate su endpoint accuratamente selezionati", afferma Tim West, responsabile dell'intelligence sulle minacce per WithSecure.

Man mano che i ricercatori continuavano a scavare nell'incidente, sono stati anche in grado di identificare ulteriori vittime dell'attacco in base alle connessioni a uno dei server C2 controllati dagli attori della minaccia, suggerendo uno sforzo molto più ampio di quanto inizialmente sospettato, in linea con i motivi di spionaggio. Altre vittime includevano una società di ricerca sanitaria; un produttore di tecnologia utilizzata nei settori dell'energia, della ricerca, della difesa e della sanità; e un dipartimento di ingegneria chimica presso un'importante università di ricerca. 

L'infrastruttura osservata dai ricercatori è stata stabilita dallo scorso maggio, con la maggior parte delle violazioni osservate che si sono verificate nel terzo trimestre del 2022. Sulla base della vittimologia della campagna, gli analisti ritengono che l'autore della minaccia stesse prendendo di mira intenzionalmente la catena di approvvigionamento del medico verticali della ricerca e dell'energia.

Lazarus non resta mai a terra a lungo

Lazarus è un gruppo di minaccia di lunga data che si pensa sia gestito dal Foreign Intelligence and Reconnaissance Bureau della Corea del Nord. I ricercatori di minacce hanno attribuito attività al gruppo che risalgono al 2009, con attacchi coerenti derivanti da esso negli anni successivi, con solo brevi periodi di messa a terra nel mezzo. 

I motivi sono entrambi finanziari: è importante generatore di entrate per il regime - e relativo allo spionaggio. Nel 2022 sono emerse numerose segnalazioni di attacchi avanzati da parte di Lazarus che includevano targeting del chip M1 di Apple, così come false offerte di lavoro truffe. Un simile attacco lo scorso aprile ha inviato file dannosi a obiettivi del settore chimico e informatico, mascherati anche da offerte di lavoro per lavori da sogno molto allettanti.

Nel frattempo, la scorsa settimana l'FBI ha confermato che gli attori delle minacce del gruppo Lazarus fossero responsabili del furto lo scorso giugno di 100 milioni di dollari di valuta virtuale dal sistema di comunicazione cross-chain della società blockchain Harmony, chiamato Horizon Bridge. Gli investigatori dell'FBI riferiscono che il gruppo ha utilizzato il protocollo sulla privacy di Railgun all'inizio di gennaio per riciclare più di 60 milioni di dollari di Ethereum rubati durante la rapina all'Horizon Bridge. Le autorità affermano di essere state in grado di congelare "una parte di questi fondi".

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
• Fonte: https://www.darkreading.com/ics-ot/lazarus-group-rises-again-gather-intelligence-energy-healthcare-firms