Grupa Lazarus powstaje ponownie, aby zebrać informacje na temat energii i firm opieki zdrowotnej

2 lutego badacze bezpieczeństwa poinformowali, że wykryli kampanię cyberataków przeprowadzoną przez północnokoreańską grupę Lazarus, wymierzoną w celach szpiegowskich w organizacje zajmujące się badaniami medycznymi i energetyką. 

Uznania tego dokonali analitycy zagrożeń dla WithSecure, którzy odkryli kampanię podczas analizowania incydentu przeciwko klientowi, co do którego podejrzewano, że był to atak oprogramowania ransomware. Dalsze dochodzenie – i kluczowa wpadka w zakresie bezpieczeństwa operacyjnego (OpSec) popełniona przez załogę Lazarusa – pomogły im odkryć dowody na to, że w rzeczywistości była to część szerszej kampanii gromadzenia danych wywiadowczych sponsorowanej przez państwo, kierowanej przez Koreę Północną.

„Początkowo podejrzewano, że jest to próba ataku ransomware BianLian” – mówi Sami Ruohonen, starszy badacz zagrożeń w WithSecure. „Zebrane przez nas dowody szybko wskazywały inny kierunek. W miarę jak zebraliśmy więcej, zyskaliśmy coraz większą pewność, że atak przeprowadziła grupa powiązana z rządem Korei Północnej, co ostatecznie doprowadziło nas do pewnego wniosku, że była to Grupa Lazarus”.

Od oprogramowania ransomware po cyberszpiegostwo

Incydent, który doprowadził ich do tego działania, rozpoczął się od wstępnego naruszenia bezpieczeństwa i eskalacji uprawnień, które osiągnięto pod koniec sierpnia w wyniku wykorzystania znanych luk w zabezpieczeniach niezałatanego serwera pocztowego Zimbra. W ciągu tygodnia cyberprzestępcy wydobyli wiele gigabajtów danych ze skrzynek pocztowych na tym serwerze. W październiku osoba atakująca przemieszczała się po sieci i korzystała z niej techniki życia poza ziemią (LotL). po drodze. W listopadzie zaatakowane aktywa zaczęły się pojawiać Uderzenie kobaltu infrastruktury dowodzenia i kontroli (C2) i w tym czasie osoby atakujące wydobyły z sieci prawie 100 GB danych. 

Zespół badawczy nazwał incydent „No Pineapple” ze względu na komunikat o błędzie w backdoorze używanym przez przestępców, który został dołączony do gdy dane przekroczyły rozmiar bajtów podzielonych na segmenty.

Badacze twierdzą, że mają dużą pewność, że aktywność ta jest zgodna z aktywnością grupy Lazarus opartą na złośliwym oprogramowaniu, TTP i kilku ustaleniach obejmujących jedno kluczowe działanie podczas eksfiltracji danych. Odkryli kontrolowaną przez atakującego powłokę internetową, która przez krótki czas łączyła się z adresem IP należącym do Korei Północnej. W kraju jest mniej niż tysiąc takich adresów i początkowo badacze zastanawiali się, czy to pomyłka, zanim potwierdzili, że tak nie jest.

„Pomimo niepowodzenia OpSec aktor wykazał się dobrym rzemiosłem i mimo to zdołał wykonać przemyślane działania na starannie wybranych punktach końcowych” – mówi Tim West, szef wywiadu zagrożeń w WithSecure.

W miarę zagłębiania się w incydent badacze byli także w stanie zidentyfikować dodatkowe ofiary ataku na podstawie połączeń z jednym z serwerów C2 kontrolowanych przez cyberprzestępców, co sugeruje znacznie szersze działania, niż pierwotnie przypuszczano, zgodnie z motywami szpiegowskimi. Wśród innych ofiar znalazła się firma badawcza zajmująca się opieką zdrowotną; producent technologii stosowanych w branżach energetycznej, badawczej, obronnej i zdrowotnej; oraz wydział inżynierii chemicznej na wiodącym uniwersytecie badawczym. 

Infrastruktura obserwowana przez badaczy istnieje od maja ubiegłego roku, a większość odnotowanych naruszeń miała miejsce w trzecim kwartale 2022 r. Na podstawie wiktymologii kampanii analitycy uważają, że podmiot zagrażający celowo obrał za cel łańcuch dostaw sektora medycznego. branże badawcze i energetyczne.

Łazarz nigdy nie zostaje na długo

Lazarus to działająca od dawna grupa zagrażająca, powszechnie uważa się, że dowodzona jest przez Biuro Wywiadu Zagranicznego i Rozpoznania Korei Północnej. Badacze zagrożeń powiązali aktywność tej grupy już z 2009 r., a ataki z jej udziałem miały miejsce na przestrzeni lat, z krótkimi przerwami pomiędzy nimi. 

Motywy są finansowe – to ważne źródłem dochodów dla reżimu — i szpiegowskie. W 2022 r. pojawiło się wiele raportów o zaawansowanych atakach ze strony Lazarusa, które obejmowały m.in celowanie w chip Apple M1, jak również fałszywe ogłoszenia o pracę. Podobny atak w kwietniu ubiegłego roku wysyłał złośliwe pliki do celów w sektorze chemicznym i IT, również maskowane jako oferty pracy na bardzo atrakcyjną wymarzoną pracę.

Tymczasem w zeszłym tygodniu potwierdziło to FBI że ugrupowania zagrażające z Grupy Lazarus były odpowiedzialne za kradzież w czerwcu ubiegłego roku 100 milionów dolarów wirtualnej waluty z systemu komunikacji międzyłańcuchowej firmy Harmony opartej na technologii blockchain, zwanej Horizon Bridge. Śledczy FBI donoszą, że na początku stycznia grupa wykorzystała protokół prywatności Railgun do wyprania Ethereum o wartości ponad 60 milionów dolarów skradzionego podczas napadu na most Horizon Bridge. Władze twierdzą, że udało im się zamrozić „część tych funduszy”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
• Źródło: https://www.darkreading.com/ics-ot/lazarus-group-rises-again-gather-intelligence-energy-healthcare-firms