Lazarus Group, Enerji ve Sağlık Firmaları Konusunda İstihbarat Toplamak İçin Yeniden Yükseldi

2 Şubat'ta güvenlik araştırmacıları, Kuzey Kore Lazarus Grubu tarafından tıbbi araştırma ve enerji kuruluşlarını casusluk amacıyla hedef alan bir siber saldırı kampanyası tespit ettiklerini bildirdi. 

Bu atıf, kampanyayı fidye yazılımı saldırısı olduğundan şüphelendiği bir müşteriye karşı olayı araştırırken keşfeden WithSecure'un tehdit istihbaratı analistleri tarafından yapıldı. Daha fazla araştırma ve Lazarus mürettebatının önemli bir operasyonel güvenlik (OpSec) hatası, bunun aslında Kuzey Kore tarafından yönetilen, devlet destekli daha geniş bir istihbarat toplama kampanyasının parçası olduğuna dair kanıtları ortaya çıkarmalarına yardımcı oldu.

WithSecure'un kıdemli tehdit istihbarat araştırmacısı Sami Ruohonen, "Bunun başlangıçta bir BianLian fidye yazılımı saldırısı girişimi olduğundan şüpheleniliyordu" diyor. "Topladığımız kanıtlar hızla farklı bir yöne işaret etti. Daha fazlasını topladıkça, saldırının Kuzey Kore hükümetine bağlı bir grup tarafından gerçekleştirildiğine dair inancımız arttı ve sonunda bu kişinin Lazarus Grubu olduğu sonucuna varmamıza yol açtı."

Fidye Yazılımından Siber Casusluğa

Onları bu aktiviteye yönlendiren olay, ağustos ayının sonunda yamalı bir Zimbra posta sunucusundaki bilinen güvenlik açıklarından yararlanılarak elde edilen ilk uzlaşma ve ayrıcalık artışıyla başladı. Bir hafta içinde tehdit aktörleri, bu sunucudaki posta kutularından gigabaytlarca veriyi sızdırdı. Ekim ayına gelindiğinde saldırgan ağ üzerinde yanal olarak hareket ediyor ve arazide yaşama (LotL) teknikleri yol boyunca. Kasım ayına gelindiğinde, tehlikeye atılan varlıklar sinyal vermeye başladı Kobalt Grevi Komuta ve kontrol (C2) altyapısını ele geçirdi ve bu süre zarfında saldırganlar ağdan neredeyse 100 GB veri sızdırdı. 

Araştırma ekibi, kötü adamlar tarafından kullanılan bir arka kapıdaki hata mesajından dolayı olayı "Ananas Yok" olarak adlandırdı. veriler bölümlere ayrılmış bayt boyutunu aştığında.

Araştırmacılar, etkinliğin kötü amaçlı yazılıma, TTP'lere ve veri sızdırma sırasındaki bir önemli eylemi içeren birkaç bulguya dayalı Lazarus grup etkinliğiyle örtüştüğüne yüksek derecede güven duyduklarını söylüyor. Kısa süreliğine Kuzey Kore'ye ait bir IP adresine bağlanan, saldırgan tarafından kontrol edilen bir Web kabuğu keşfettiler. Ülkede bu türden binden az adres var ve araştırmacılar ilk başta bunun bir hata olup olmadığını merak ettiler, sonra olmadığını teyit ettiler.

WithSecure'un tehdit istihbaratı başkanı Tim West, "OpSec'in başarısız olmasına rağmen, oyuncu iyi bir ticari beceri sergiledi ve yine de dikkatle seçilmiş uç noktalarda üzerinde düşünülmüş eylemler gerçekleştirmeyi başardı" diyor.

Araştırmacılar olayı derinlemesine incelemeye devam ettikçe, tehdit aktörleri tarafından kontrol edilen C2 sunucularından birine olan bağlantılara dayanarak saldırının diğer kurbanlarını da tespit edebildiler; bu da, casusluk saikleriyle uyumlu olarak, ilk başta şüphelenilenden çok daha geniş bir çabaya işaret ediyordu. Diğer kurbanlar arasında bir sağlık araştırma şirketi; enerji, araştırma, savunma ve sağlık sektörlerinde kullanılan teknoloji üreticisi; ve önde gelen bir araştırma üniversitesinde kimya mühendisliği bölümü. 

Araştırmacılar tarafından gözlemlenen altyapı geçen Mayıs ayından bu yana oluşturuldu ve gözlemlenen ihlallerin çoğu 2022'nin üçüncü çeyreğinde gerçekleşti. Analistler, kampanyanın mağduriyetine dayanarak, tehdit aktörünün kasıtlı olarak tıbbi tedarik zincirini hedef aldığına inanıyor. araştırma ve enerji sektörleri.

Lazarus Asla Uzun Süre Yerde Kalmaz

Lazarus, Kuzey Kore'nin Dış İstihbarat ve Keşif Bürosu tarafından yönetildiği düşünülen, uzun süredir devam eden bir tehdit grubudur. Tehdit araştırmacıları, faaliyetleri 2009'a kadar uzanan gruba bağladı; o zamandan bu yana geçen yıllar boyunca sürekli saldırılar gerçekleşti ve arada yalnızca kısa süreler kaldı. 

Gerekçeler hem finansal hem de önemli Rejim için gelir kaynağı - ve casuslukla ilgili. 2022'de Lazarus'un gelişmiş saldırılarına ilişkin çok sayıda rapor ortaya çıktı: Apple'ın M1 çipini hedefleme, Hem de sahte iş ilanı dolandırıcılığı. Benzer geçen nisan ayındaki saldırı Kimya sektörü ve BT alanındaki hedeflere, oldukça çekici rüya işleri için iş teklifleri olarak gizlenen kötü amaçlı dosyalar gönderdi.

Bu arada, geçen hafta FBI doğruladı Lazarus Grubu tehdit aktörlerinin geçen Haziran ayında Horizon Bridge adlı blockchain firması Harmony'nin zincirler arası iletişim sisteminden 100 milyon dolarlık sanal paranın çalınmasından sorumlu olduğu ortaya çıktı. FBI müfettişleri, grubun Ocak ayının başlarında Horizon Bridge soygununda çalınan 60 milyon dolar değerindeki Ethereum'u aklamak için Railgun gizlilik protokolünü kullandığını bildirdi. Yetkililer "bu fonların bir kısmını" dondurabildiklerini söylüyor.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
• Kaynak: https://www.darkreading.com/ics-ot/lazarus-group-rises-again-gather-intelligence-energy-healthcare-firms