Skupina Lazarus se znova dviguje, da bi zbrala podatke o energetskih in zdravstvenih podjetjih

Varnostni raziskovalci so 2. februarja poročali, da so zaznali kampanjo kibernetskih napadov s strani severnokorejske skupine Lazarus, ki cilja na medicinske raziskovalne in energetske organizacije za namene vohunjenja. 

Pripis so izdelali analitiki za obveščanje o grožnjah za WithSecure, ki je odkril kampanjo, medtem ko je izvajal incident proti stranki, za katerega je sumil, da gre za napad z izsiljevalsko programsko opremo. Nadaljnja preiskava – in ključni spodrsljaj pri operativni varnosti (OpSec) posadke Lazarus – sta jim pomagala odkriti dokaze, da je bil dejansko del širše državno sponzorirane kampanje zbiranja obveščevalnih podatkov, ki jo je vodila Severna Koreja.

“This was initially suspected to be an attempted BianLian ransomware attack,” says Sami Ruohonen, senior threat intelligence researcher for WithSecure. “The evidence we collected quickly pointed in a different direction. And as we collected more, we became more confident that the attack was conducted by a group connected to the North Korean government, eventually leading us to confidently conclude it was the Lazarus Group.”

Od izsiljevalske programske opreme do kibernetskega vohunjenja

Incident, ki jih je pripeljal do te dejavnosti, se je začel z začetnim kompromisom in eskalacijo privilegijev, ki je bila dosežena z izkoriščanjem znanih ranljivosti v nepopravljenem poštnem strežniku Zimbra konec avgusta. V enem tednu so akterji groženj iz poštnih predalov na tem strežniku izločili veliko gigabajtov podatkov. Do oktobra se je napadalec premikal bočno po omrežju in uporabljal tehnike življenja zunaj zemlje (LotL). spotoma. Do novembra so se ogrožena sredstva začela opozarjati na Kobaltov udar ukazno-nadzorno (C2) infrastrukturo in v tem časovnem obdobju so napadalci iz omrežja odtujili skoraj 100 GB podatkov. 

The research team dubbed the incident “No Pineapple” for an error message in a backdoor used by the bad guys, that appended <No Pineapple!> when data exceeded segmented byte size.

The researchers say they have a high degree of confidence that the activity squares up with Lazarus group activity based on the malware, TTPs, and a couple of findings that include one key action during the data exfiltration. They discovered an attacker-controlled Web shell that for a short time connected to an IP address belonging to North Korea. The country has fewer than a thousand such addresses, and at first, the researchers wondered if it was a mistake, before confirming it wasn’t.

“In spite of that OpSec fail, the actor demonstrated good tradecraft and still managed to perform considered actions on carefully selected endpoints,” says Tim West, head of threat intelligence for WithSecure.

Ko so raziskovalci še naprej kopali po incidentu, so lahko identificirali tudi dodatne žrtve napada na podlagi povezav z enim od strežnikov C2, ki jih nadzirajo akterji groženj, kar kaže na veliko širše prizadevanje, kot je bilo prvotno domnevno, v skladu z motivi vohunjenja. Med drugimi žrtvami je bilo podjetje za zdravstvene raziskave; proizvajalec tehnologije, ki se uporablja v vertikalah energetike, raziskav, obrambe in zdravstva; in oddelek za kemijsko inženirstvo na vodilni raziskovalni univerzi. 

Infrastruktura, ki so jo opazovali raziskovalci, je bila vzpostavljena od lanskega maja, večina opaženih kršitev pa se je zgodila v tretjem četrtletju leta 2022. Na podlagi viktimologije kampanje analitiki menijo, da je akter grožnje namerno ciljal na dobavno verigo medicinskega raziskovalne in energetske vertikale.

Lazarus nikoli ne ostane dolgo

Lazarus is a long-running threat group that’s widely thought to be run by North Korea’s Foreign Intelligence and Reconnaissance Bureau. Threat researchers have pinned activity to the group dating as far back as 2009, with consistent attacks stemming from it over the years since, with only short periods of going to ground in between. 

The motives are both financial — it’s an important ustvarjalec prihodkov za režim — in v zvezi z vohunjenjem. Leta 2022 so se pojavila številna poročila o naprednih napadih Lazarusa, ki vključujejo targeting of Apple’s M1 chip, Pa tudi prevare z lažnimi objavami delovnih mest. Podobno napad lani aprila pošiljal zlonamerne datoteke tarčam v kemičnem sektorju in IT, tudi prikrite kot ponudbe za delo za zelo privlačne sanjske službe.

Medtem, prejšnji teden je FBI potrdil that Lazarus Group threat actors were responsible for the theft last June of $100 million of virtual currency from the cross-chain communication system from the blockchain firm Harmony, called Horizon Bridge. The FBI’s investigators report that the group used the Railgun privacy protocol earlier in January to launder more than $60 million worth of Ethereum stolen in the Horizon Bridge heist. Authorities say they were able to freeze “a portion of these funds.”

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
• vir: https://www.darkreading.com/ics-ot/lazarus-group-rises-again-gather-intelligence-energy-healthcare-firms