Lazarus Group staat weer op om inlichtingen te verzamelen over energie, gezondheidszorgbedrijven

Beveiligingsonderzoekers meldden op 2 februari dat ze een cyberaanvalcampagne van de Noord-Koreaanse Lazarus Group hebben ontdekt, die zich richt op medisch onderzoek en energieorganisaties voor spionagedoeleinden. 

De toeschrijving werd gedaan door dreigingsinformatie-analisten van WithSecure, die de campagne ontdekten tijdens het uitvoeren van een incident tegen een klant waarvan zij vermoedden dat het een ransomware-aanval was. Verder onderzoek – en een belangrijke misstap op het gebied van de operationele veiligheid (OpSec) door de Lazarus-bemanning – heeft hen geholpen bewijsmateriaal te ontdekken dat deze feitelijk deel uitmaakte van een bredere, door de staat gesponsorde campagne voor het verzamelen van inlichtingen onder leiding van Noord-Korea.

“Aanvankelijk werd vermoed dat dit een poging tot BianLian-ransomware-aanval was”, zegt Sami Ruohonen, senior threat intelligence-onderzoeker bij WithSecure. “Het bewijsmateriaal dat we verzamelden wees al snel in een andere richting. En naarmate we meer verzamelden, kregen we er meer vertrouwen in dat de aanval werd uitgevoerd door een groep die banden had met de Noord-Koreaanse regering, waardoor we uiteindelijk met vertrouwen konden concluderen dat het de Lazarus-groep was.’

Van ransomware tot cyberspionage

Het incident dat hen tot deze activiteit leidde, begon met een aanvankelijke compromittering en escalatie van bevoegdheden die eind augustus werd bereikt door misbruik van bekende kwetsbaarheden in een niet-gepatchte Zimbra-mailserver. Binnen een week hadden de bedreigingsactoren vele gigabytes aan gegevens uit de mailboxen op die server geëxfiltreerd. In oktober bewoog de aanvaller zich lateraal over het netwerk en gebruikte Living-off-the-land (LotL)-technieken onderweg. In november begonnen de gecompromitteerde activa zichtbaar te worden Kobaltaanval command-and-control (C2)-infrastructuur, en in die periode hebben aanvallers bijna 100 GB aan gegevens uit het netwerk geëxfiltreerd. 

Het onderzoeksteam noemde het incident ‘No Pineapple’ vanwege een foutmelding in een achterdeur die door de slechteriken werd gebruikt. wanneer gegevens de gesegmenteerde bytegrootte overschrijden.

De onderzoekers zeggen dat ze er een hoge mate van vertrouwen in hebben dat de activiteit overeenkomt met de activiteit van de Lazarus-groep op basis van de malware, TTP's en een aantal bevindingen die één belangrijke actie tijdens de data-exfiltratie omvatten. Ze ontdekten een door een aanvaller bestuurde webshell die korte tijd verbinding maakte met een IP-adres van Noord-Korea. Het land heeft minder dan duizend van dergelijke adressen, en aanvankelijk vroegen de onderzoekers zich af of het een vergissing was, voordat ze bevestigden dat dit niet het geval was.

“Ondanks de mislukking van OpSec heeft de acteur blijk gegeven van goed vakmanschap en is hij er toch in geslaagd weloverwogen acties uit te voeren op zorgvuldig geselecteerde eindpunten”, zegt Tim West, hoofd van de bedreigingsinformatie bij WithSecure.

Terwijl de onderzoekers zich bleven verdiepen in het incident, konden ze ook extra slachtoffers van de aanval identificeren op basis van verbindingen met een van de C2-servers die door de bedreigingsactoren werden beheerd, wat duidt op een veel bredere inspanning dan aanvankelijk werd vermoed, in overeenstemming met spionagemotieven. Andere slachtoffers waren onder meer een onderzoeksbureau in de gezondheidszorg; een fabrikant van technologie die wordt gebruikt in de sectoren energie, onderzoek, defensie en gezondheidszorg; en een afdeling chemische technologie aan een vooraanstaande onderzoeksuniversiteit. 

De door de onderzoekers waargenomen infrastructuur is sinds afgelopen mei tot stand gebracht, waarbij de meeste waargenomen inbreuken plaatsvonden in het derde kwartaal van 2022. Op basis van het slachtofferschap van de campagne zijn de analisten van mening dat de dreigingsactoren zich opzettelijk richtten op de toeleveringsketen van de medische sector. onderzoeks- en energiesectoren.

Lazarus blijft nooit lang liggen

Lazarus is een al lang bestaande dreigingsgroep waarvan algemeen wordt aangenomen dat deze wordt geleid door het Noord-Koreaanse Buitenlandse Inlichtingen- en Verkenningsbureau. Bedreigingsonderzoekers hebben activiteit aan de groep vastgepind die teruggaat tot 2009, met consistente aanvallen die daaruit voortkwamen in de loop van de jaren daarna, met slechts korte perioden van stilstand daartussenin. 

De motieven zijn beide van financiële aard: het is een belangrijke inkomstengenerator voor het regime – en spionagegerelateerd. In 2022 kwamen er talloze rapporten naar voren over geavanceerde aanvallen van Lazarus, waaronder gericht op de M1-chip van Appleevenals valse vacatures. Een soortgelijke aanval afgelopen april kwaadaardige bestanden gestuurd naar doelwitten in de chemische sector en IT, ook vermomd als vacatures voor zeer aantrekkelijke droombanen.

Ondertussen vorige week bevestigde de FBI dat bedreigingsactoren van de Lazarus Group verantwoordelijk waren voor de diefstal afgelopen juni van 100 miljoen dollar aan virtuele valuta uit het cross-chain communicatiesysteem van het blockchain-bedrijf Harmony, genaamd Horizon Bridge. De onderzoekers van de FBI melden dat de groep eerder in januari het Railgun-privacyprotocol gebruikte om voor meer dan $ 60 miljoen aan Ethereum, gestolen tijdens de Horizon Bridge-overval, wit te wassen. De autoriteiten zeggen dat ze “een deel van deze fondsen” hebben kunnen bevriezen.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
• Bron: https://www.darkreading.com/ics-ot/lazarus-group-rises-again-gather-intelligence-energy-healthcare-firms