Peneliti keamanan pada 2 Februari melaporkan bahwa mereka telah mendeteksi kampanye serangan dunia maya oleh Grup Lazarus Korea Utara, yang menargetkan penelitian medis dan organisasi energi untuk tujuan spionase. 

Atribusi dibuat oleh analis intelijen ancaman untuk WithSecure, yang menemukan kampanye tersebut saat menjalankan insiden terhadap pelanggan yang dicurigai sebagai serangan ransomware. Investigasi lebih lanjut — dan kesalahan keamanan operasional utama (OpSec) oleh kru Lazarus — membantu mereka mengungkap bukti bahwa itu sebenarnya bagian dari kampanye pengumpulan intelijen yang disponsori negara yang diarahkan oleh Korea Utara.

“Ini awalnya dicurigai sebagai percobaan serangan ransomware BianLian,” kata Sami Ruohonen, peneliti intelijen ancaman senior untuk WithSecure. “Bukti yang kami kumpulkan dengan cepat menunjuk ke arah yang berbeda. Dan saat kami mengumpulkan lebih banyak, kami menjadi lebih yakin bahwa serangan itu dilakukan oleh kelompok yang terhubung dengan pemerintah Korea Utara, yang pada akhirnya membuat kami dengan yakin menyimpulkan bahwa itu adalah Grup Lazarus.”

Dari Ransomware ke Cyber ​​​​Spionage

Insiden yang mengarahkan mereka ke aktivitas ini dimulai melalui kompromi awal dan eskalasi hak istimewa yang dicapai melalui eksploitasi kerentanan yang diketahui di server surat Zimbra yang belum ditambal pada akhir Agustus. Dalam seminggu, pelaku ancaman telah mengekstraksi banyak gigabyte data dari kotak surat di server itu. Pada bulan Oktober, penyerang bergerak secara lateral melintasi jaringan dan menggunakan teknik hidup-off-the-land (LotL). sepanjang jalan. Pada bulan November, aset yang dikompromikan mulai mereda Cobalt Strike infrastruktur perintah-dan-kontrol (C2), dan dalam jangka waktu tersebut, penyerang mengeluarkan hampir 100 GB data dari jaringan. 

Tim peneliti menjuluki insiden itu "No Pineapple" karena pesan kesalahan di pintu belakang yang digunakan oleh penjahat, yang ditambahkan ketika data melebihi ukuran byte tersegmentasi.

Para peneliti mengatakan bahwa mereka memiliki tingkat kepercayaan yang tinggi bahwa aktivitas tersebut sejalan dengan aktivitas kelompok Lazarus berdasarkan malware, TTP, dan beberapa temuan yang menyertakan satu tindakan utama selama eksfiltrasi data. Mereka menemukan cangkang Web yang dikendalikan penyerang yang untuk waktu singkat terhubung ke alamat IP milik Korea Utara. Negara ini memiliki kurang dari seribu alamat seperti itu, dan pada awalnya, para peneliti bertanya-tanya apakah itu sebuah kesalahan, sebelum memastikan bahwa itu bukan kesalahan.

“Terlepas dari OpSec yang gagal, aktor tersebut menunjukkan keterampilan perdagangan yang baik dan masih berhasil melakukan tindakan yang dipertimbangkan pada titik akhir yang dipilih dengan cermat,” kata Tim West, kepala intelijen ancaman WithSecure.

Saat para peneliti terus menggali insiden tersebut, mereka juga dapat mengidentifikasi korban tambahan dari serangan tersebut berdasarkan koneksi ke salah satu server C2 yang dikendalikan oleh pelaku ancaman, menunjukkan upaya yang jauh lebih luas daripada dugaan semula, sesuai dengan motif spionase. Korban lainnya termasuk perusahaan riset kesehatan; produsen teknologi yang digunakan dalam vertikal energi, penelitian, pertahanan, dan perawatan kesehatan; dan departemen teknik kimia di universitas riset terkemuka. 

Infrastruktur yang diamati oleh para peneliti telah ditetapkan sejak Mei lalu, dengan sebagian besar pelanggaran yang diamati terjadi pada kuartal ketiga tahun 2022. Berdasarkan viktimologi kampanye, para analis yakin pelaku ancaman sengaja menargetkan rantai pasokan medis. vertikal penelitian dan energi.

Lazarus Tidak Pernah Berlama-lama Terpuruk

Lazarus adalah kelompok ancaman jangka panjang yang secara luas dianggap dijalankan oleh Biro Intelijen dan Pengintaian Asing Korea Utara. Peneliti ancaman telah menyematkan aktivitas ke grup sejak tahun 2009, dengan serangan konsisten yang berasal darinya selama bertahun-tahun sejak itu, dengan hanya periode singkat yang terjadi di antaranya. 

Motif keduanya finansial - ini penting penghasil pendapatan bagi rezim - dan terkait mata-mata. Pada tahun 2022, banyak laporan muncul tentang serangan lanjutan dari Lazarus yang mencakup penargetan chip M1 Apple, sebaik penipuan posting pekerjaan palsu. Serupa serangan April lalu mengirim file berbahaya ke target di sektor kimia dan TI, juga disamarkan sebagai tawaran pekerjaan untuk pekerjaan impian yang sangat menarik.

Sementara itu, minggu lalu FBI dikonfirmasi bahwa pelaku ancaman Grup Lazarus bertanggung jawab atas pencurian Juni lalu sebesar $100 juta mata uang virtual dari sistem komunikasi lintas rantai dari perusahaan blockchain Harmony, yang disebut Horizon Bridge. Penyelidik FBI melaporkan bahwa kelompok tersebut menggunakan protokol privasi Railgun pada awal Januari untuk mencuci Ethereum senilai lebih dari $60 juta yang dicuri dalam perampokan Horizon Bridge. Pihak berwenang mengatakan mereka dapat membekukan "sebagian dari dana ini".

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
• Sumber: https://www.darkreading.com/ics-ot/lazarus-group-rises-again-gather-intelligence-energy-healthcare-firms