Lazarus Group reser sig igen för att samla information om energi, hälsovårdsföretag

Säkerhetsforskare rapporterade den 2 februari att de har upptäckt en cyberattackkampanj av den nordkoreanska Lazarus Group, riktad mot medicinsk forskning och energiorganisationer i spionagesyfte. 

Tillskrivningen gjordes av hotintelligence-analytiker för WithSecure, som upptäckte kampanjen när de körde ner en incident mot en kund som den misstänkte var en ransomware-attack. Ytterligare undersökningar – och ett misslyckande för nyckeloperativ säkerhet (OpSec) från Lazarus-besättningen – hjälpte dem att avslöja bevis för att det faktiskt var en del av en bredare statligt sponsrad underrättelseinsamlingskampanj som leds av Nordkorea.

"Detta misstänktes initialt vara ett försök till BianLian ransomware-attack", säger Sami Ruohonen, senior hot intelligence-forskare för WithSecure. "Bevisen vi samlade in pekade snabbt i en annan riktning. Och när vi samlade in mer blev vi mer övertygade om att attacken utfördes av en grupp kopplad till den nordkoreanska regeringen, vilket så småningom ledde till att vi med tillförsikt drog slutsatsen att det var Lazarusgruppen."

Från ransomware till cyberspionage

Incidenten som ledde dem till denna aktivitet började genom en första kompromiss och privilegieupptrappning som uppnåddes genom utnyttjande av kända sårbarheter i en oparpad Zimbra-postserver i slutet av augusti. Inom en vecka hade hotaktörerna exfiltrerat många gigabyte data från postlådorna på den servern. I oktober flyttade angriparen i sidled över nätverket och använde tekniker för att leva utanför landet (LotL). längs vägen. I november började de komprometterade tillgångarna skickas till Koboltstrejk kommando-och-kontroll (C2)-infrastruktur, och under den tidsperioden exfiltrerade angripare nästan 100 GB data från nätverket. 

Forskargruppen kallade händelsen "Ingen ananas" för ett felmeddelande i en bakdörr som användes av skurkarna, som bifogades när data överskred segmenterad bytestorlek.

Forskarna säger att de har en hög grad av förtroende för att aktiviteten överensstämmer med Lazarus-gruppens aktivitet baserat på skadlig programvara, TTP:er och ett par fynd som inkluderar en nyckelåtgärd under dataexfiltreringen. De upptäckte ett angriparkontrollerat webbskal som under en kort tid kopplade till en IP-adress tillhörande Nordkorea. Landet har färre än tusen sådana adresser, och först undrade forskarna om det var ett misstag innan de bekräftade att det inte var det.

"Trots detta OpSec-misslyckande visade skådespelaren bra hantverk och lyckades ändå utföra övervägda åtgärder på noggrant utvalda slutpunkter", säger Tim West, chef för hotintelligens för WithSecure.

När forskarna fortsatte att gräva i händelsen kunde de också identifiera ytterligare offer för attacken baserat på anslutningar till en av C2-servrarna som kontrolleras av hotaktörerna, vilket tyder på en mycket bredare insats än vad som ursprungligen misstänktes, i linje med spionagemotiv. Andra offer var ett forskningsföretag inom sjukvården; en tillverkare av teknik som används inom energi, forskning, försvar och hälsovård; och en kemiteknisk avdelning vid ett ledande forskningsuniversitet. 

Infrastrukturen som observerats av forskarna har etablerats sedan maj förra året, och de flesta av de observerade intrången ägde rum under tredje kvartalet 2022. Baserat på kampanjens offer, tror analytikerna att hotaktören avsiktligt riktade in sig på leveranskedjan för det medicinska forskning och energi vertikaler.

Lazarus stannar aldrig nere länge

Lazarus är en långvarig hotgrupp som allmänt anses styras av Nordkoreas utländska underrättelse- och spaningsbyrå. Hotforskare har fäst aktivitet till gruppen så långt tillbaka som 2009, med konsekventa attacker som härrörde från den under åren sedan, med bara korta perioder av att gå till marken däremellan. 

Motiven är både ekonomiska — det är viktigt inkomstgenererande för regimen — och spionrelaterad. År 2022 dök det upp många rapporter om avancerade attacker från Lazarus, inklusive inriktning på Apples M1-chip, såväl som falska jobbannonseringsbedrägerier. En liknande attacken i april förra året skickat skadliga filer till mål inom kemibranschen och IT, även förklädda som jobberbjudanden för mycket attraktiva drömjobb.

Under tiden, förra veckan bekräftade FBI att Lazarus Group-hotaktörer var ansvariga för stölden i juni förra juni av 100 miljoner dollar av virtuell valuta från det tvärkedjekommunikationssystemet från blockkedjeföretaget Harmony, kallat Horizon Bridge. FBI:s utredare rapporterar att gruppen använde Railguns sekretessprotokoll tidigare i januari för att tvätta Ethereum till ett värde av mer än 60 miljoner dollar som stulits i Horizon Bridge-rån. Myndigheterna säger att de kunde frysa "en del av dessa medel."

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
• Källa: https://www.darkreading.com/ics-ot/lazarus-group-rises-again-gather-intelligence-energy-healthcare-firms