Lazarus Group знову піднімається, щоб зібрати інформацію про енергетичні та медичні компанії

2 лютого дослідники безпеки повідомили, що вони виявили кампанію кібератак північнокорейської групи Lazarus Group, спрямовану на медичні дослідницькі та енергетичні організації з метою шпигунства. 

Атрибуція була зроблена аналітиками аналізу загроз для WithSecure, які виявили кампанію під час перевірки інциденту проти клієнта, який підозрювався як атака програми-вимагача. Подальше розслідування — і ключовий промах оперативної безпеки (OpSec) екіпажем Lazarus — допомогли їм виявити докази того, що це насправді була частина ширшої спонсорованої державою кампанії зі збору розвідданих, якою керувала Північна Корея.

«Спочатку підозрювали, що це була спроба атаки програм-вимагачів BianLian», — каже Самі Руохонен, старший дослідник аналізу загроз WithSecure. «Докази, які ми зібрали, швидко вказали в іншому напрямку. І коли ми збирали більше, ми ставали більш упевненими, що атаку здійснила група, пов’язана з урядом Північної Кореї, що зрештою змусило нас впевнено зробити висновок, що це була група Lazarus».

Від програм-вимагачів до кібершпигунства

Інцидент, який привів їх до цієї діяльності, почався через початковий компромет та ескалацію привілеїв, що було досягнуто шляхом використання відомих уразливостей у невиправленому поштовому сервері Zimbra наприкінці серпня. Протягом тижня зловмисники викрали багато гігабайтів даних із поштових скриньок на цьому сервері. До жовтня зловмисник переміщався по мережі та використовував методи живого життя поза землею (LotL). по дорозі. До листопада скомпрометовані активи почали з’являтися Кобальтовий удар командно-контрольної (C2) інфраструктури, і за цей період зловмисники викрали з мережі майже 100 ГБ даних. 

Дослідницька група назвала інцидент «No Pineapple» через повідомлення про помилку в бекдорі, який використовували погані хлопці, яке додавалося коли дані перевищують розмір сегментованого байта.

Дослідники кажуть, що вони мають високий ступінь впевненості в тому, що діяльність збігається з діяльністю групи Lazarus на основі зловмисного програмного забезпечення, TTP і кількох знахідок, які включають одну ключову дію під час викрадання даних. Вони виявили керовану зловмисниками веб-оболонку, яка на короткий час підключалася до IP-адреси, що належить Північній Кореї. У країні менше тисячі таких адрес, і спочатку дослідники задавалися питанням, чи це помилка, перш ніж підтвердити, що це не так.

«Незважаючи на цю невдачу OpSec, актор продемонстрував гарну майстерність і все ж зумів виконувати продумані дії на ретельно відібраних кінцевих точках», — говорить Тім Вест, керівник відділу аналізу загроз WithSecure.

Оскільки дослідники продовжували досліджувати інцидент, вони також змогли ідентифікувати додаткових жертв атаки на основі з’єднань з одним із серверів C2, контрольованих зловмисниками, що свідчить про набагато ширші зусилля, ніж передбачалося спочатку, відповідно до мотивів шпигунства. Серед інших жертв були дослідницька компанія охорони здоров'я; виробник технологій, які використовуються в енергетиці, наукових дослідженнях, обороні та охороні здоров’я; і факультет хімічної інженерії в провідному дослідницькому університеті. 

Інфраструктура, за якою спостерігали дослідники, була створена з травня минулого року, причому більшість спостережених порушень відбулися в третьому кварталі 2022 року. На основі віктимології кампанії аналітики вважають, що зловмисник навмисно націлився на ланцюжок постачання медичної продукції. науково-енергетичні вертикалі.

Lazarus ніколи не залишається надовго

Lazarus — це давня група загроз, якою, як вважають, керує Бюро зовнішньої розвідки та розвідки Північної Кореї. Дослідники загроз приписали активність групі ще в 2009 році, з послідовними атаками, що випливають з неї протягом багатьох років, з лише короткими періодами виходу на землю між ними. 

Обидва мотиви фінансові — це важливо джерело доходу для режиму — і пов’язані зі шпигунством. У 2022 році з’явилися численні повідомлення про розширені атаки від Lazarus, які включали націлювання на чіп Apple M1, А також фальшиві оголошення про роботу. Подібний атаку минулого квітня надсилав шкідливі файли цілям у хімічному секторі та ІТ, також маскуючись під пропозиції роботи для дуже привабливої ​​роботи мрії.

Між тим, минулого тижня ФБР підтвердило що зловмисники Lazarus Group відповідальні за крадіжку минулого червня віртуальної валюти на суму 100 мільйонів доларів із міжланцюгової системи зв’язку компанії Harmony, що займається блокчейном, під назвою Horizon Bridge. Слідчі ФБР повідомляють, що раніше в січні група використовувала протокол конфіденційності Railgun для відмивання Ethereum на суму понад 60 мільйонів доларів, викраденого під час пограбування Horizon Bridge. Влада каже, що їм вдалося заморозити «частину цих коштів».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://www.darkreading.com/ics-ot/lazarus-group-rises-again-gather-intelligence-energy-healthcare-firms