Lazarus Group 再次崛起，收集有关能源和医疗保健公司的情报

2 月 XNUMX 日，安全研究人员报告说，他们发现了朝鲜拉撒路集团发起的网络攻击活动，该活动针对医学研究和能源组织进行间谍活动。 

该归因是由 WithSecure 的威胁情报分析师做出的，该分析师在处理针对其怀疑是勒索软件攻击的客户的事件时发现了该活动。 进一步的调查——以及 Lazarus 船员的一个关键操作安全 (OpSec) 失误——帮助他们发现了证据，证明这实际上是朝鲜指挥的更广泛的国家支持的情报收集活动的一部分。

WithSecure 高级威胁情报研究员 Sami Ruohonen 表示：“这最初被怀疑是 BianLian 勒索软件攻击未遂。” “我们收集的证据很快指向了不同的方向。 随着收集到的信息越来越多，我们越来越确信这次袭击是由一个与朝鲜政府有关联的组织实施的，最终使我们自信地断定这是拉撒路组织。”

从勒索软件到网络间谍

导致他们进行此活动的事件始于 XNUMX 月底通过利用未修补的 Zimbra 邮件服务器中的已知漏洞实现的初始妥协和特权升级。 在一周内，威胁行为者从该服务器上的邮箱中泄露了数 GB 的数据。 到 XNUMX 月，攻击者在网络中横向移动并使用 离地生活 (LotL) 技术 一路上。 到 XNUMX 月，受感染的资产开始向 钴罢工 命令和控制 (C2) 基础设施，在此期间，攻击者从网络中窃取了近 100GB 的数据。 

研究小组将此事件称为“No Pineapple”，因为坏人使用的后门程序中出现错误消息，附加当数据超过分段字节大小时。

研究人员表示，他们非常有信心根据恶意软件、TTP 和一些发现（包括数据泄露期间的一个关键操作），该活动与 Lazarus 组织的活动相吻合。 他们发现了一个由攻击者控制的 Web 外壳，该外壳在短时间内连接到属于朝鲜的 IP 地址。 该国只有不到 XNUMX 个这样的地址，起​​初，研究人员怀疑这是否是一个错误，然后才确认不是。

WithSecure 威胁情报主管蒂姆·韦斯特表示：“尽管 OpSec 失败了，但攻击者展示了良好的交易技巧，并且仍然设法在精心挑选的端点上执行经过深思熟虑的操作。”

随着研究人员不断深入调查这一事件，他们还能够根据与威胁行为者控制的其中一台 C2 服务器的连接来识别攻击的其他受害者，这表明他们的努力比最初怀疑的要广泛得多，符合间谍动机。 其他受害者包括一家医疗保健研究公司； 用于能源、研究、国防和医疗保健垂直领域的技术制造商； 以及一流研究型大学的化学工程系。 

研究人员观察到的基础设施自去年 2022 月以来就已建立，观察到的大部分违规行为发生在 XNUMX 年第三季度。根据该活动的受害者情况，分析人士认为，威胁行为者有意将医疗供应链作为目标研究和能源垂直领域。

拉撒路从不沉睡太久

Lazarus 是一个长期存在的威胁组织，人们普遍认为它由朝鲜的外国情报和侦察局运营。 威胁研究人员已确定该组织的活动可追溯到 2009 年，从那以后的几年里，该组织不断发起攻击，其间只有很短的时间停滞不前。 

动机都是经济上的——这很重要 该制度的创收者 - 和间谍有关。 2022 年，出现了许多关于 Lazarus 高级攻击的报告，其中包括 针对苹果的 M1 芯片以及 虚假招聘信息诈骗。 一个相似的 去年四月袭击 向化工行业和 IT 领域的目标发送恶意文件，还伪装成极具吸引力的梦想工作的工作机会。

同时， 上周联邦调查局证实 去年 100 月，Lazarus Group 威胁参与者从区块链公司 Harmony 的跨链通信系统（称为 Horizo​​n Bridge）盗窃了 60 亿美元的虚拟货币。 FBI 的调查人员报告说，该组织在 XNUMX 月初使用 Railgun 隐私协议清洗了在 Horizo​​n Bridge 抢劫案中被盗的价值超过 XNUMX 万美元的以太坊。 当局表示，他们能够冻结“这些资金的一部分”。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
• Sumber: https://www.darkreading.com/ics-ot/lazarus-group-rises-again-gather-intelligence-energy-healthcare-firms