2 лютого дослідники безпеки повідомили, що вони виявили кампанію кібератак північнокорейської групи Lazarus Group, спрямовану на медичні дослідницькі та енергетичні організації з метою шпигунства.
Атрибуція була зроблена аналітиками аналізу загроз для WithSecure, які виявили кампанію під час перевірки інциденту проти клієнта, який підозрювався як атака програми-вимагача. Подальше розслідування — і ключовий промах оперативної безпеки (OpSec) екіпажем Lazarus — допомогли їм виявити докази того, що це насправді була частина ширшої спонсорованої державою кампанії зі збору розвідданих, якою керувала Північна Корея.
«Спочатку підозрювали, що це була спроба атаки програм-вимагачів BianLian», — каже Самі Руохонен, старший дослідник аналізу загроз WithSecure. «Докази, які ми зібрали, швидко вказали в іншому напрямку. І коли ми збирали більше, ми ставали більш упевненими, що атаку здійснила група, пов’язана з урядом Північної Кореї, що зрештою змусило нас впевнено зробити висновок, що це була група Lazarus».
Від програм-вимагачів до кібершпигунства
Інцидент, який привів їх до цієї діяльності, почався через початковий компромет та ескалацію привілеїв, що було досягнуто шляхом використання відомих уразливостей у невиправленому поштовому сервері Zimbra наприкінці серпня. Протягом тижня зловмисники викрали багато гігабайтів даних із поштових скриньок на цьому сервері. До жовтня зловмисник переміщався по мережі та використовував методи живого життя поза землею (LotL). по дорозі. До листопада скомпрометовані активи почали з’являтися Кобальтовий удар командно-контрольної (C2) інфраструктури, і за цей період зловмисники викрали з мережі майже 100 ГБ даних.
Дослідницька група назвала інцидент «No Pineapple» через повідомлення про помилку в бекдорі, який використовували погані хлопці, яке додавалося коли дані перевищують розмір сегментованого байта.
Дослідники кажуть, що вони мають високий ступінь впевненості в тому, що діяльність збігається з діяльністю групи Lazarus на основі зловмисного програмного забезпечення, TTP і кількох знахідок, які включають одну ключову дію під час викрадання даних. Вони виявили керовану зловмисниками веб-оболонку, яка на короткий час підключалася до IP-адреси, що належить Північній Кореї. У країні менше тисячі таких адрес, і спочатку дослідники задавалися питанням, чи це помилка, перш ніж підтвердити, що це не так.
«Незважаючи на цю невдачу OpSec, актор продемонстрував гарну майстерність і все ж зумів виконувати продумані дії на ретельно відібраних кінцевих точках», — говорить Тім Вест, керівник відділу аналізу загроз WithSecure.
Оскільки дослідники продовжували досліджувати інцидент, вони також змогли ідентифікувати додаткових жертв атаки на основі з’єднань з одним із серверів C2, контрольованих зловмисниками, що свідчить про набагато ширші зусилля, ніж передбачалося спочатку, відповідно до мотивів шпигунства. Серед інших жертв були дослідницька компанія охорони здоров'я; виробник технологій, які використовуються в енергетиці, наукових дослідженнях, обороні та охороні здоров’я; і факультет хімічної інженерії в провідному дослідницькому університеті.
Інфраструктура, за якою спостерігали дослідники, була створена з травня минулого року, причому більшість спостережених порушень відбулися в третьому кварталі 2022 року. На основі віктимології кампанії аналітики вважають, що зловмисник навмисно націлився на ланцюжок постачання медичної продукції. науково-енергетичні вертикалі.
Lazarus ніколи не залишається надовго
Lazarus — це давня група загроз, якою, як вважають, керує Бюро зовнішньої розвідки та розвідки Північної Кореї. Дослідники загроз приписали активність групі ще в 2009 році, з послідовними атаками, що випливають з неї протягом багатьох років, з лише короткими періодами виходу на землю між ними.
Обидва мотиви фінансові — це важливо джерело доходу для режиму — і пов’язані зі шпигунством. У 2022 році з’явилися численні повідомлення про розширені атаки від Lazarus, які включали націлювання на чіп Apple M1, А також фальшиві оголошення про роботу. Подібний атаку минулого квітня надсилав шкідливі файли цілям у хімічному секторі та ІТ, також маскуючись під пропозиції роботи для дуже привабливої роботи мрії.
Між тим, минулого тижня ФБР підтвердило що зловмисники Lazarus Group відповідальні за крадіжку минулого червня віртуальної валюти на суму 100 мільйонів доларів із міжланцюгової системи зв’язку компанії Harmony, що займається блокчейном, під назвою Horizon Bridge. Слідчі ФБР повідомляють, що раніше в січні група використовувала протокол конфіденційності Railgun для відмивання Ethereum на суму понад 60 мільйонів доларів, викраденого під час пограбування Horizon Bridge. Влада каже, що їм вдалося заморозити «частину цих коштів».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://www.darkreading.com/ics-ot/lazarus-group-rises-again-gather-intelligence-energy-healthcare-firms
- $ 100 мільйонів
- 2022
- 7
- a
- Здатний
- досягнутий
- через
- дію
- дії
- діяльність
- насправді
- Додатковий
- адреса
- адреси
- просунутий
- проти
- аналітики
- та
- Apple
- Активи
- атака
- нападки
- спробував
- привабливий
- Серпня
- Влада
- назад
- закулісний
- поганий
- заснований
- перед тим
- почалася
- буття
- Вірити
- між
- blockchain
- Фірма блокчейн
- порушення
- BRIDGE
- ширше
- офіс
- званий
- Кампанія
- обережно
- ланцюг
- хімічний
- Комунікація
- компанія
- компроміс
- Компрометація
- укладає
- довіра
- впевнений
- впевнено
- підключений
- Зв'язки
- вважається
- послідовний
- контроль
- країна
- Пара
- Крос-ланцюга
- Валюта
- клієнт
- кібер-
- Кібератака
- дані
- датування
- оборони
- Ступінь
- продемонстрований
- відділ
- виявлено
- різний
- напрям
- відкритий
- вниз
- мрія
- охрестили
- під час
- Раніше
- зусилля
- з'явився
- енергія
- Машинобудування
- помилка
- ескалація
- шпигунство
- встановлений
- Ефіріума
- ethereum вкрадено
- врешті-решт
- докази
- ексфільтрація
- експлуатація
- FAIL
- fbi
- Файли
- фінансовий
- Фірма
- фірми
- Перший
- іноземні
- Заморожувати
- від
- засоби
- далі
- збір
- буде
- добре
- Уряд
- Земля
- Group
- Harmony
- голова
- охорона здоров'я
- пограбування
- допоміг
- Високий
- дуже
- горизонт
- міст горизонту
- HTTPS
- ідентифікувати
- важливо
- in
- інцидент
- включати
- включені
- Інфраструктура
- початковий
- спочатку
- Інтелект
- навмисно
- дослідження
- Слідчі
- IP
- IP-адреса
- IT
- січня
- робота
- Джобс
- зберігання
- ключ
- відомий
- Корея
- корейський
- останній
- Лазар
- Група «Лазар»
- провідний
- Led
- made
- шкідливих програм
- вдалося
- виробник
- багато
- медичний
- медичне дослідження
- повідомлення
- мільйона
- помилка
- більше
- найбільш
- переміщення
- мережу
- На північ
- Північна Корея
- Листопад
- численний
- жовтень
- Пропозиції
- ONE
- оперативний
- організації
- спочатку
- Інше
- частина
- Виконувати
- period
- періодів
- місце
- plato
- Інформація про дані Платона
- PlatoData
- недоторканність приватного життя
- протокол
- цілей
- Квартал
- швидко
- вимагачів
- Вимагальна програма
- звітом
- Повідомляється
- Звіти
- дослідження
- дослідник
- Дослідники
- відповідальний
- Піднімається
- прогін
- біг
- сектор
- безпеку
- обраний
- старший
- Сервери
- Склад
- Короткий
- з
- Розмір
- Навпроти
- квадрати
- почалася
- Як і раніше
- вкрали
- такі
- поставка
- ланцюжка поставок
- система
- взяття
- націлювання
- цілі
- команда
- Технологія
- Команда
- Міст Горизонт
- крадіжка
- третій
- думка
- загроза
- актори загроз
- через
- Тім
- час
- до
- розкрити
- університет
- us
- вертикалі
- жертви
- Віртуальний
- віртуальна валюта
- Уразливості
- Web
- week
- West
- який
- в той час як
- широко
- ширше
- в
- вартість
- років
- зефірнет