Các nhà nghiên cứu bảo mật ngày 2/XNUMX báo cáo rằng họ đã phát hiện một chiến dịch tấn công mạng của Tập đoàn Lazarus của Triều Tiên, nhằm vào các tổ chức nghiên cứu y tế và năng lượng vì mục đích gián điệp.
Sự quy kết được đưa ra bởi các nhà phân tích tình báo mối đe dọa cho WithSecure, họ đã phát hiện ra chiến dịch trong khi xử lý một sự cố đối với khách hàng mà họ nghi ngờ là một cuộc tấn công ransomware. Cuộc điều tra sâu hơn - và một sơ suất về an ninh hoạt động quan trọng (OpSec) của phi hành đoàn Lazarus - đã giúp họ phát hiện ra bằng chứng rằng nó thực sự là một phần của chiến dịch thu thập thông tin tình báo rộng lớn hơn do nhà nước tài trợ do Triều Tiên chỉ đạo.
Sami Ruohonen, nhà nghiên cứu tình báo mối đe dọa cấp cao của WithSecure cho biết: “Ban đầu, người ta nghi ngờ đây là một nỗ lực tấn công ransomware BianLian. “Bằng chứng chúng tôi thu thập nhanh chóng chỉ ra một hướng khác. Và khi chúng tôi thu thập được nhiều thông tin hơn, chúng tôi trở nên tin tưởng hơn rằng cuộc tấn công được thực hiện bởi một nhóm có liên hệ với chính phủ Triều Tiên, cuối cùng khiến chúng tôi kết luận một cách tự tin rằng đó là Nhóm Lazarus.”
Từ Ransomware đến Gián điệp mạng
Sự cố dẫn họ đến hoạt động này bắt đầu thông qua một thỏa hiệp ban đầu và leo thang đặc quyền đạt được thông qua việc khai thác các lỗ hổng đã biết trong máy chủ thư Zimbra chưa được vá vào cuối tháng XNUMX. Trong vòng một tuần, các tác nhân đe dọa đã lấy được nhiều gigabyte dữ liệu từ các hộp thư trên máy chủ đó. Đến tháng XNUMX, kẻ tấn công đã di chuyển ngang qua mạng và sử dụng kỹ thuật sống xa xứ (LotL) dọc đường. Đến tháng XNUMX, các tài sản bị xâm phạm bắt đầu báo hiệu coban tấn công cơ sở hạ tầng chỉ huy và kiểm soát (C2) và trong khoảng thời gian đó, những kẻ tấn công đã đánh cắp gần 100GB dữ liệu từ mạng.
Nhóm nghiên cứu gọi sự việc này là “No Pineapple” vì một thông báo lỗi trong cửa sau được kẻ xấu sử dụng, kèm theo khi dữ liệu vượt quá kích thước byte được phân đoạn.
Các nhà nghiên cứu cho biết họ có độ tin cậy cao rằng hoạt động này phù hợp với hoạt động của nhóm Lazarus dựa trên phần mềm độc hại, TTP và một số phát hiện bao gồm một hành động chính trong quá trình lọc dữ liệu. Họ đã phát hiện ra một Web shell do kẻ tấn công kiểm soát, kết nối trong một thời gian ngắn với địa chỉ IP của Triều Tiên. Cả nước có ít hơn một nghìn địa chỉ như vậy và lúc đầu, các nhà nghiên cứu tự hỏi liệu đó có phải là một sự nhầm lẫn hay không trước khi xác nhận rằng không phải.
Tim West, người đứng đầu bộ phận tình báo về mối đe dọa của WithSecure, cho biết: “Mặc dù OpSec thất bại nhưng kẻ tấn công đã thể hiện kỹ năng tốt và vẫn thực hiện được các hành động được cân nhắc trên các điểm cuối được lựa chọn cẩn thận”.
Khi các nhà nghiên cứu tiếp tục đào sâu vào vụ việc, họ cũng có thể xác định thêm nạn nhân của cuộc tấn công dựa trên các kết nối với một trong các máy chủ C2 do các tác nhân đe dọa kiểm soát, cho thấy nỗ lực lớn hơn nhiều so với nghi ngờ ban đầu, phù hợp với động cơ gián điệp. Các nạn nhân khác bao gồm một công ty nghiên cứu chăm sóc sức khỏe; một nhà sản xuất công nghệ được sử dụng trong ngành năng lượng, nghiên cứu, quốc phòng và chăm sóc sức khỏe; và khoa kỹ thuật hóa học tại một trường đại học nghiên cứu hàng đầu.
Cơ sở hạ tầng mà các nhà nghiên cứu quan sát đã được thiết lập từ tháng 2022 năm ngoái, với hầu hết các vi phạm được quan sát thấy diễn ra vào quý XNUMX năm XNUMX. Dựa trên nạn nhân của chiến dịch, các nhà phân tích tin rằng tác nhân đe dọa đang cố tình nhắm mục tiêu vào chuỗi cung ứng của ngành dọc nghiên cứu y tế và năng lượng.
Lazarus không bao giờ ở lại lâu
Lazarus là một nhóm đe dọa lâu đời được nhiều người cho là do Cục Tình báo và Trinh sát nước ngoài của Triều Tiên điều hành. Các nhà nghiên cứu mối đe dọa đã xác định hoạt động của nhóm này đã có từ năm 2009, với các cuộc tấn công liên tục bắt nguồn từ nhóm này trong nhiều năm kể từ đó, chỉ có thời gian ngắn xảy ra ở giữa.
Động cơ đều liên quan đến tài chính - đó là một điều quan trọng nguồn thu cho chế độ - và liên quan đến gián điệp. Vào năm 2022, nhiều báo cáo đã xuất hiện về các cuộc tấn công nâng cao từ Lazarus bao gồm nhắm mục tiêu vào chip M1 của Apple, Cũng như lừa đảo đăng tin tuyển dụng giả mạo. Tương tự cuộc tấn công vào tháng XNUMX năm ngoái đã gửi các tệp độc hại đến các mục tiêu trong lĩnh vực hóa chất và CNTT, đồng thời ngụy trang dưới dạng lời mời làm việc cho những công việc mơ ước rất hấp dẫn.
Trong khi đó, tuần trước FBI đã xác nhận rằng các tác nhân đe dọa của Tập đoàn Lazarus chịu trách nhiệm về vụ trộm 100 triệu đô la tiền ảo vào tháng 60 năm ngoái từ hệ thống liên lạc xuyên chuỗi từ công ty blockchain Harmony, có tên là Horizon Bridge. Các nhà điều tra của FBI báo cáo rằng nhóm này đã sử dụng giao thức bảo mật Railgun vào đầu tháng XNUMX để rửa số Ethereum trị giá hơn XNUMX triệu USD bị đánh cắp trong vụ cướp Horizon Bridge. Các nhà chức trách cho biết họ đã có thể phong tỏa “một phần số tiền này”.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/ics-ot/lazarus-group-rises-again-gather-intelligence-energy-healthcare-firms
- $ 100 triệu
- 2022
- 7
- a
- Có khả năng
- đạt được
- ngang qua
- Hoạt động
- hành động
- hoạt động
- thực sự
- thêm vào
- địa chỉ
- địa chỉ
- tiên tiến
- chống lại
- Các nhà phân tích
- và
- Apple
- Tài sản
- tấn công
- Các cuộc tấn công
- đã cố gắng
- hấp dẫn
- Tháng Tám
- Thẩm quyền
- trở lại
- cửa sau
- Bad
- dựa
- trước
- bắt đầu
- được
- Tin
- giữa
- blockchain
- Công ty Blockchain
- vi phạm
- CẦU
- rộng hơn
- Văn phòng
- gọi là
- Chiến dịch
- cẩn thận
- chuỗi
- hóa chất
- Giao tiếp
- công ty
- thỏa hiệp
- Thỏa hiệp
- kết luận
- sự tự tin
- tự tin
- tự tin
- kết nối
- Kết nối
- xem xét
- thích hợp
- kiểm soát
- đất nước
- Couple
- Cross-Chain
- Tiền tệ
- khách hàng
- không gian mạng
- Tấn công mạng
- dữ liệu
- hò
- Phòng thủ
- Bằng cấp
- chứng minh
- bộ
- phát hiện
- khác nhau
- hướng
- phát hiện
- xuống
- giấc mơ
- được mệnh danh là
- suốt trong
- Sớm hơn
- nỗ lực
- xuất hiện
- năng lượng
- Kỹ Sư
- lôi
- leo thang
- gián điệp
- thành lập
- ethereum
- ethereum bị đánh cắp
- cuối cùng
- bằng chứng
- sự lọc ra
- khai thác
- FAIL
- fbi
- Các tập tin
- tài chính
- Công ty
- hãng
- Tên
- nước ngoài
- Đóng băng
- từ
- quỹ
- xa hơn
- thu thập
- đi
- tốt
- Chính phủ
- Mặt đất
- Nhóm
- Hòa điệu
- cái đầu
- chăm sóc sức khỏe
- vụ cướp
- đã giúp
- Cao
- cao
- chân trời
- cầu đường chân trời
- HTTPS
- xác định
- quan trọng
- in
- sự cố
- bao gồm
- bao gồm
- Cơ sở hạ tầng
- ban đầu
- ban đầu
- Sự thông minh
- cố ý
- điều tra
- Các nhà điều tra
- IP
- Địa chỉ IP
- IT
- Tháng một
- Việc làm
- việc làm
- giữ
- Key
- nổi tiếng
- korea
- Tiếng Hàn
- Họ
- Lazarus
- Tập đoàn Lazarus
- hàng đầu
- Led
- thực hiện
- phần mềm độc hại
- quản lý
- nhà chế tạo
- nhiều
- y khoa
- nghiên cứu y học
- tin nhắn
- triệu
- sai lầm
- chi tiết
- hầu hết
- di chuyển
- mạng
- Bắc
- Bắc Triều Tiên
- Tháng mười một
- nhiều
- Tháng Mười
- Cung cấp
- ONE
- hoạt động
- tổ chức
- ban đầu
- Nền tảng khác
- một phần
- Thực hiện
- thời gian
- kinh nguyệt
- Nơi
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- riêng tư
- giao thức
- mục đích
- Quý
- Mau
- ransomware
- Tấn công Ransomware
- báo cáo
- Báo cáo
- Báo cáo
- nghiên cứu
- nhà nghiên cứu
- nhà nghiên cứu
- chịu trách nhiệm
- Mọc
- chạy
- chạy
- ngành
- an ninh
- chọn
- cao cấp
- Các máy chủ
- Shell
- ngắn
- kể từ khi
- Kích thước máy
- Mặc dù
- hình vuông
- bắt đầu
- Vẫn còn
- ăn cắp
- như vậy
- cung cấp
- chuỗi cung ứng
- hệ thống
- dùng
- nhắm mục tiêu
- mục tiêu
- nhóm
- Công nghệ
- Sản phẩm
- cầu chân trời
- trộm cắp
- Thứ ba
- nghĩ
- mối đe dọa
- diễn viên đe dọa
- Thông qua
- Tim
- thời gian
- đến
- khám phá
- trường đại học
- us
- ngành dọc
- nạn nhân
- ảo
- tiền ảo
- Lỗ hổng
- web
- tuần
- hướng Tây
- cái nào
- trong khi
- rộng rãi
- rộng hơn
- ở trong
- giá trị
- năm
- zephyrnet