Tập đoàn Lazarus trỗi dậy một lần nữa, để thu thập thông tin tình báo về các công ty năng lượng, chăm sóc sức khỏe

Các nhà nghiên cứu bảo mật ngày 2/XNUMX báo cáo rằng họ đã phát hiện một chiến dịch tấn công mạng của Tập đoàn Lazarus của Triều Tiên, nhằm vào các tổ chức nghiên cứu y tế và năng lượng vì mục đích gián điệp. 

Sự quy kết được đưa ra bởi các nhà phân tích tình báo mối đe dọa cho WithSecure, họ đã phát hiện ra chiến dịch trong khi xử lý một sự cố đối với khách hàng mà họ nghi ngờ là một cuộc tấn công ransomware. Cuộc điều tra sâu hơn - và một sơ suất về an ninh hoạt động quan trọng (OpSec) của phi hành đoàn Lazarus - đã giúp họ phát hiện ra bằng chứng rằng nó thực sự là một phần của chiến dịch thu thập thông tin tình báo rộng lớn hơn do nhà nước tài trợ do Triều Tiên chỉ đạo.

Sami Ruohonen, nhà nghiên cứu tình báo mối đe dọa cấp cao của WithSecure cho biết: “Ban đầu, người ta nghi ngờ đây là một nỗ lực tấn công ransomware BianLian. “Bằng chứng chúng tôi thu thập nhanh chóng chỉ ra một hướng khác. Và khi chúng tôi thu thập được nhiều thông tin hơn, chúng tôi trở nên tin tưởng hơn rằng cuộc tấn công được thực hiện bởi một nhóm có liên hệ với chính phủ Triều Tiên, cuối cùng khiến chúng tôi kết luận một cách tự tin rằng đó là Nhóm Lazarus.”

Từ Ransomware đến Gián điệp mạng

Sự cố dẫn họ đến hoạt động này bắt đầu thông qua một thỏa hiệp ban đầu và leo thang đặc quyền đạt được thông qua việc khai thác các lỗ hổng đã biết trong máy chủ thư Zimbra chưa được vá vào cuối tháng XNUMX. Trong vòng một tuần, các tác nhân đe dọa đã lấy được nhiều gigabyte dữ liệu từ các hộp thư trên máy chủ đó. Đến tháng XNUMX, kẻ tấn công đã di chuyển ngang qua mạng và sử dụng kỹ thuật sống xa xứ (LotL) dọc đường. Đến tháng XNUMX, các tài sản bị xâm phạm bắt đầu báo hiệu coban tấn công cơ sở hạ tầng chỉ huy và kiểm soát (C2) và trong khoảng thời gian đó, những kẻ tấn công đã đánh cắp gần 100GB dữ liệu từ mạng. 

Nhóm nghiên cứu gọi sự việc này là “No Pineapple” vì một thông báo lỗi trong cửa sau được kẻ xấu sử dụng, kèm theo khi dữ liệu vượt quá kích thước byte được phân đoạn.

Các nhà nghiên cứu cho biết họ có độ tin cậy cao rằng hoạt động này phù hợp với hoạt động của nhóm Lazarus dựa trên phần mềm độc hại, TTP và một số phát hiện bao gồm một hành động chính trong quá trình lọc dữ liệu. Họ đã phát hiện ra một Web shell do kẻ tấn công kiểm soát, kết nối trong một thời gian ngắn với địa chỉ IP của Triều Tiên. Cả nước có ít hơn một nghìn địa chỉ như vậy và lúc đầu, các nhà nghiên cứu tự hỏi liệu đó có phải là một sự nhầm lẫn hay không trước khi xác nhận rằng không phải.

Tim West, người đứng đầu bộ phận tình báo về mối đe dọa của WithSecure, cho biết: “Mặc dù OpSec thất bại nhưng kẻ tấn công đã thể hiện kỹ năng tốt và vẫn thực hiện được các hành động được cân nhắc trên các điểm cuối được lựa chọn cẩn thận”.

Khi các nhà nghiên cứu tiếp tục đào sâu vào vụ việc, họ cũng có thể xác định thêm nạn nhân của cuộc tấn công dựa trên các kết nối với một trong các máy chủ C2 do các tác nhân đe dọa kiểm soát, cho thấy nỗ lực lớn hơn nhiều so với nghi ngờ ban đầu, phù hợp với động cơ gián điệp. Các nạn nhân khác bao gồm một công ty nghiên cứu chăm sóc sức khỏe; một nhà sản xuất công nghệ được sử dụng trong ngành năng lượng, nghiên cứu, quốc phòng và chăm sóc sức khỏe; và khoa kỹ thuật hóa học tại một trường đại học nghiên cứu hàng đầu. 

Cơ sở hạ tầng mà các nhà nghiên cứu quan sát đã được thiết lập từ tháng 2022 năm ngoái, với hầu hết các vi phạm được quan sát thấy diễn ra vào quý XNUMX năm XNUMX. Dựa trên nạn nhân của chiến dịch, các nhà phân tích tin rằng tác nhân đe dọa đang cố tình nhắm mục tiêu vào chuỗi cung ứng của ngành dọc nghiên cứu y tế và năng lượng.

Lazarus không bao giờ ở lại lâu

Lazarus là một nhóm đe dọa lâu đời được nhiều người cho là do Cục Tình báo và Trinh sát nước ngoài của Triều Tiên điều hành. Các nhà nghiên cứu mối đe dọa đã xác định hoạt động của nhóm này đã có từ năm 2009, với các cuộc tấn công liên tục bắt nguồn từ nhóm này trong nhiều năm kể từ đó, chỉ có thời gian ngắn xảy ra ở giữa. 

Động cơ đều liên quan đến tài chính - đó là một điều quan trọng nguồn thu cho chế độ - và liên quan đến gián điệp. Vào năm 2022, nhiều báo cáo đã xuất hiện về các cuộc tấn công nâng cao từ Lazarus bao gồm nhắm mục tiêu vào chip M1 của Apple, Cũng như lừa đảo đăng tin tuyển dụng giả mạo. Tương tự cuộc tấn công vào tháng XNUMX năm ngoái đã gửi các tệp độc hại đến các mục tiêu trong lĩnh vực hóa chất và CNTT, đồng thời ngụy trang dưới dạng lời mời làm việc cho những công việc mơ ước rất hấp dẫn.

Trong khi đó, tuần trước FBI đã xác nhận rằng các tác nhân đe dọa của Tập đoàn Lazarus chịu trách nhiệm về vụ trộm 100 triệu đô la tiền ảo vào tháng 60 năm ngoái từ hệ thống liên lạc xuyên chuỗi từ công ty blockchain Harmony, có tên là Horizon Bridge. Các nhà điều tra của FBI báo cáo rằng nhóm này đã sử dụng giao thức bảo mật Railgun vào đầu tháng XNUMX để rửa số Ethereum trị giá hơn XNUMX triệu USD bị đánh cắp trong vụ cướp Horizon Bridge. Các nhà chức trách cho biết họ đã có thể phong tỏa “một phần số tiền này”.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/ics-ot/lazarus-group-rises-again-gather-intelligence-energy-healthcare-firms