Исследователи безопасности 2 февраля сообщили, что они обнаружили кампанию кибератак северокорейской группы Lazarus, нацеленную на медицинские исследовательские и энергетические организации в целях шпионажа.
Атрибуция была сделана аналитиками по анализу угроз для WithSecure, которые обнаружили кампанию во время расследования инцидента против клиента, который, как они подозревали, был атакой программы-вымогателя. Дальнейшее расследование — и ключевой промах команды Lazarus в области оперативной безопасности (OpSec) — помогли им обнаружить доказательства того, что на самом деле это было частью более широкой кампании по сбору разведывательных данных, спонсируемой государством и направляемой Северной Кореей.
«Изначально предполагалось, что это попытка атаки программы-вымогателя BianLian», — говорит Сами Руохонен, старший исследователь угроз в WithSecure. «Доказательства, которые мы быстро собрали, указывали в другом направлении. И по мере того, как мы собирали больше, мы становились более уверенными в том, что атака была совершена группой, связанной с правительством Северной Кореи, что в конечном итоге привело нас к уверенному выводу, что это была группа Лазаря».
От программ-вымогателей до кибершпионажа
Инцидент, который привел их к этой деятельности, начался с первоначальной компрометации и повышения привилегий, которые были достигнуты за счет эксплуатации известных уязвимостей на неисправленном почтовом сервере Zimbra в конце августа. В течение недели злоумышленники украли много гигабайт данных из почтовых ящиков на этом сервере. К октябрю злоумышленник перемещался по сети в горизонтальном направлении и использовал методы жизни вне земли (LotL) по пути. К ноябрю скомпрометированные активы начали поступать в Кобальт Страйк инфраструктура управления и контроля (C2), и за это время злоумышленники украли почти 100 ГБ данных из сети.
Исследовательская группа назвала инцидент «Нет ананаса» из-за сообщения об ошибке в бэкдоре, используемом злоумышленниками. когда данные превышают размер сегментированного байта.
Исследователи говорят, что у них есть высокая степень уверенности в том, что эта активность совпадает с активностью группы Lazarus, основываясь на вредоносном ПО, TTP и нескольких выводах, которые включают одно ключевое действие во время эксфильтрации данных. Они обнаружили контролируемую злоумышленниками веб-оболочку, которая на короткое время подключилась к IP-адресу, принадлежащему Северной Корее. В стране менее тысячи таких адресов, и сначала исследователи задавались вопросом, была ли это ошибка, прежде чем подтвердить, что это не так.
«Несмотря на провал OpSec, актер продемонстрировал хорошее мастерство и все же сумел выполнить взвешенные действия на тщательно отобранных конечных точках, — говорит Тим Уэст, руководитель отдела анализа угроз компании WithSecure.
По мере того, как исследователи продолжали копаться в инциденте, они также смогли идентифицировать дополнительных жертв атаки на основе подключений к одному из серверов C2, контролируемых злоумышленниками, что предполагает гораздо более масштабные усилия, чем первоначально предполагалось, в соответствии со шпионскими мотивами. Другие жертвы включали исследовательскую компанию в области здравоохранения; производитель технологий, используемых в энергетике, исследованиях, обороне и здравоохранении; и химико-технологический факультет ведущего исследовательского университета.
Инфраструктура, за которой наблюдали исследователи, была создана с мая прошлого года, при этом большинство наблюдаемых взломов произошло в третьем квартале 2022 года. исследовательская и энергетическая вертикали.
Лазарь никогда не остается надолго
Lazarus — это давняя группа угроз, которая, по широко распространенному мнению, находится в ведении Бюро внешней разведки и рекогносцировки Северной Кореи. Исследователи угроз привязали активность к группе еще в 2009 году, с последовательными атаками, исходящими от нее на протяжении многих лет, с короткими периодами между ними.
Мотивы оба финансовые - это важно генератор доходов для режима — и связанных со шпионажем. В 2022 году появилось множество сообщений о расширенных атаках со стороны Lazarus, в том числе нацеливание на чип Apple M1, так же как мошеннические объявления о вакансиях, Похожий атака в апреле прошлого года рассылали вредоносные файлы целям в химическом секторе и информационных технологиях, также замаскированные под предложения о работе с очень привлекательной работой мечты.
Следует также заметить, На прошлой неделе ФБР подтвердило что субъекты угрозы Lazarus Group несут ответственность за кражу в июне прошлого года 100 миллионов долларов виртуальной валюты из системы межсетевой связи от блокчейн-фирмы Harmony под названием Horizon Bridge. Следователи ФБР сообщают, что ранее в январе группа использовала протокол конфиденциальности Railgun для отмывания Ethereum на сумму более 60 миллионов долларов, украденного в ходе ограбления Horizon Bridge. Власти говорят, что им удалось заморозить «часть этих средств».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://www.darkreading.com/ics-ot/lazarus-group-rises-again-gather-intelligence-energy-healthcare-firms
- $ 100 миллионов
- 2022
- 7
- a
- в состоянии
- достигнутый
- через
- Действие
- действия
- деятельность
- на самом деле
- дополнительный
- адрес
- адреса
- продвинутый
- против
- Аналитики
- и
- Apple
- Активы
- атаковать
- нападки
- попытка
- привлекательный
- Август
- Власти
- назад
- задняя дверь
- Плохой
- основанный
- до
- начал
- не являетесь
- верить
- между
- блокчейн
- Блокчейн Фирма
- нарушения
- МОСТ
- шире
- офис
- под названием
- Кампания
- осторожно
- цепь
- химический
- Связь
- Компания
- скомпрометированы
- Ослабленный
- вывод
- доверие
- уверенный
- уверенно
- подключенный
- Коммутация
- считается
- последовательный
- контроль
- страна
- Пара
- Кросс-цепи
- Валюта
- клиент
- кибер-
- Кибератака
- данным
- Знакомства
- Защита
- Степень
- убивают
- Кафедра
- обнаруженный
- различный
- направление
- открытый
- вниз
- мечта
- дублированный
- в течение
- Ранее
- усилие
- появившийся
- энергетика
- Проект и
- ошибка
- эскалация
- шпионаж
- установленный
- Эфириума
- эфириум украден
- со временем
- , поскольку большинство сенаторов
- эксфильтрации
- эксплуатация
- FAIL
- ФБР
- Файлы
- финансовый
- Фирма
- Компаний
- Во-первых,
- иностранный
- Замораживать
- от
- средства
- далее
- сбор
- будет
- хорошо
- Правительство
- земля
- группы
- Гармония
- здравоохранение
- ограбление
- помог
- High
- очень
- горизонт
- горизонтальный мост
- HTTPS
- определения
- важную
- in
- инцидент
- включают
- включены
- Инфраструктура
- начальный
- первоначально
- Интеллекта
- намеренно
- ходе расследования,
- Следователи
- IP
- IP-адрес
- IT
- январь
- работа
- Джобс
- хранение
- Основные
- известный
- Корея
- Корейский
- Фамилия
- Лазарь
- Лазарь Групп
- ведущий
- привело
- сделанный
- вредоносных программ
- управляемого
- ПРОИЗВОДИТЕЛЬ
- многих
- основным медицинским
- медицинские исследования
- сообщение
- миллиона
- ошибка
- БОЛЕЕ
- самых
- перемещение
- сеть
- север
- Северная Корея
- Ноябрь
- многочисленный
- октябрь
- Предложения
- ONE
- оперативный
- организации
- первоначально
- Другое
- часть
- Выполнять
- период
- периодов
- Часть
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- политикой конфиденциальности.
- протокол
- целей
- Четверть
- быстро
- вымогателей
- Атака вымогателей
- отчету
- Сообщается
- Отчеты
- исследованиям
- исследователь
- исследователи
- ответственный
- Встает
- Run
- Бег
- сектор
- безопасность
- выбранный
- старший
- Серверы
- Оболочка
- Короткое
- с
- Размер
- озлобленность
- квадраты
- и политические лидеры
- По-прежнему
- украли
- такие
- поставка
- цепочками поставок
- система
- с
- направлены
- направлена против
- команда
- Технологии
- Ассоциация
- Мост Горизонта
- кража
- В третьих
- мысль
- угроза
- актеры угрозы
- Через
- Тим
- время
- в
- открывай
- Университет
- us
- вертикалей
- жертвы
- Виртуальный
- виртуальная валюта
- Уязвимости
- Web
- неделя
- запад
- , которые
- в то время как
- широко
- Шире
- в
- стоимость
- лет
- зефирнет