Sicherheitsforscher berichteten am 2. Februar, dass sie eine Cyberangriffskampagne der nordkoreanischen Lazarus-Gruppe entdeckt haben, die sich zu Spionagezwecken gegen medizinische Forschungs- und Energieorganisationen richtete.
Die Zuschreibung erfolgte durch Threat-Intelligence-Analysten von WithSecure, die die Kampagne entdeckten, als sie einen Vorfall gegen einen Kunden untersuchten, von dem sie vermuteten, dass es sich um einen Ransomware-Angriff handelte. Weitere Untersuchungen – und ein wichtiger Ausrutscher der Lazarus-Crew im Bereich der operativen Sicherheit (OpSec) – halfen dabei, Beweise dafür aufzudecken, dass es sich tatsächlich um Teil einer umfassenderen staatlich geförderten Geheimdienstkampagne handelte, die von Nordkorea geleitet wurde.
„Ursprünglich wurde vermutet, dass es sich um einen versuchten BianLian-Ransomware-Angriff handelt“, sagt Sami Ruohonen, leitender Threat-Intelligence-Forscher bei WithSecure. „Die von uns gesammelten Beweise deuteten schnell in eine andere Richtung. Und je mehr wir sammelten, desto sicherer wurden wir, dass der Angriff von einer Gruppe mit Verbindungen zur nordkoreanischen Regierung durchgeführt wurde, was uns schließlich zu dem sicheren Schluss brachte, dass es sich um die Lazarus-Gruppe handelte.“
Von Ransomware bis Cyberspionage
Der Vorfall, der sie zu dieser Aktivität veranlasste, begann mit einer ersten Kompromittierung und Privilegieneskalation, die durch die Ausnutzung bekannter Schwachstellen in einem ungepatchten Zimbra-Mailserver Ende August erreicht wurde. Innerhalb einer Woche hatten die Bedrohungsakteure viele Gigabyte an Daten aus den Postfächern auf diesem Server exfiltriert. Im Oktober bewegte sich der Angreifer seitlich durch das Netzwerk und nutzte es Living-off-the-Land-Techniken (LotL). nach dem Weg. Im November begannen die kompromittierten Vermögenswerte zu signalisieren Cobalt Strike Command-and-Control (C2)-Infrastruktur, und in diesem Zeitraum haben Angreifer fast 100 GB Daten aus dem Netzwerk exfiltriert.
Das Forschungsteam nannte den Vorfall „No Pineapple“ wegen einer Fehlermeldung in einer von den Bösewichten genutzten Hintertür, die angehängt war wenn die Daten die segmentierte Bytegröße überschreiten.
Die Forscher sagen, dass sie ein hohes Maß an Vertrauen haben, dass die Aktivität mit der Aktivität der Lazarus-Gruppe übereinstimmt, basierend auf der Malware, TTPs und einigen Erkenntnissen, die eine Schlüsselaktion während der Datenexfiltration beinhalten. Sie entdeckten eine von Angreifern kontrollierte Web-Shell, die für kurze Zeit eine Verbindung zu einer IP-Adresse Nordkoreas herstellte. Das Land hat weniger als tausend solcher Adressen, und die Forscher fragten sich zunächst, ob es sich um einen Fehler handelte, bevor sie bestätigten, dass dies nicht der Fall war.
„Trotz dieses OpSec-Fehlers hat der Akteur gutes handwerkliches Geschick bewiesen und es dennoch geschafft, überlegte Aktionen an sorgfältig ausgewählten Endpunkten durchzuführen“, sagt Tim West, Leiter der Bedrohungsanalyse bei WithSecure.
Während die Forscher den Vorfall weiter untersuchten, konnten sie anhand der Verbindungen zu einem der von den Bedrohungsakteuren kontrollierten C2-Server auch weitere Opfer des Angriffs identifizieren, was im Einklang mit Spionagemotiven auf weitaus umfassendere Bemühungen schließen lässt als ursprünglich vermutet. Zu den weiteren Opfern gehörten ein Gesundheitsforschungsunternehmen; ein Hersteller von Technologie für die Branchen Energie, Forschung, Verteidigung und Gesundheitswesen; und eine Abteilung für Chemieingenieurwesen an einer führenden Forschungsuniversität.
Die von den Forschern beobachtete Infrastruktur wurde seit Mai letzten Jahres aufgebaut, wobei die meisten der beobachteten Verstöße im dritten Quartal 2022 stattfanden. Basierend auf der Viktimologie der Kampagne gehen die Analysten davon aus, dass der Bedrohungsakteur absichtlich die Lieferkette des Arzneimittels ins Visier genommen hat Branchen Forschung und Energie.
Lazarus bleibt nie lange unten
Lazarus ist eine seit langem bestehende Bedrohungsgruppe, von der allgemein angenommen wird, dass sie vom nordkoreanischen Auslandsgeheimdienst und Aufklärungsbüro geleitet wird. Bedrohungsforscher gehen davon aus, dass die Aktivität der Gruppe bereits im Jahr 2009 begann, und seitdem kam es immer wieder zu Angriffen, die zwischendurch nur kurze Zeiträume unterbrochen wurden.
Die Motive sind sowohl finanzieller Natur – es ist wichtig Einnahmequelle für das Regime – und im Zusammenhang mit Spionage. Im Jahr 2022 tauchten zahlreiche Berichte über fortgeschrittene Angriffe von Lazarus auf, darunter Ziel ist der M1-Chip von Apple, sowie Betrug mit gefälschten Stellenausschreibungen. Ein ähnliches Angriff im vergangenen April verschickten Schaddateien an Ziele aus der Chemie- und IT-Branche, auch getarnt als Stellenangebote für hochattraktive Traumjobs.
Unterdessen Letzte Woche bestätigte das FBI dass Bedrohungsakteure der Lazarus Group im vergangenen Juni für den Diebstahl virtueller Währungen im Wert von 100 Millionen US-Dollar aus dem kettenübergreifenden Kommunikationssystem der Blockchain-Firma Harmony namens Horizon Bridge verantwortlich waren. Die Ermittler des FBI berichten, dass die Gruppe Anfang Januar das Railgun-Datenschutzprotokoll genutzt hat, um Ethereum im Wert von mehr als 60 Millionen US-Dollar zu waschen, das beim Überfall auf die Horizon Bridge gestohlen wurde. Die Behörden sagen, dass sie „einen Teil dieser Gelder“ einfrieren konnten.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://www.darkreading.com/ics-ot/lazarus-group-rises-again-gather-intelligence-energy-healthcare-firms
