セキュリティ研究者は 2 月 XNUMX 日に、北朝鮮のラザルス グループによるサイバー攻撃キャンペーンを検出したと報告しました。スパイ目的で、医療研究およびエネルギー組織を標的にしていました。
この帰属は、ランサムウェア攻撃であると疑われる顧客に対するインシデントを実行中にキャンペーンを発見した WithSecure の脅威インテリジェンス アナリストによって作成されました。 さらなる調査と、Lazarus 乗組員による重要な運用セキュリティ (OpSec) の誤りにより、それが実際には、北朝鮮によって指示された、より広範な国家支援の情報収集キャンペーンの一部であったという証拠を発見するのに役立ちました。
「これは当初、BianLian ランサムウェア攻撃の試みであると疑われていました」と、WithSecure の上級脅威インテリジェンス研究者である Sami Ruohonen は述べています。 「私たちが集めた証拠はすぐに別の方向性を示しました。 収集が進むにつれて、攻撃が北朝鮮政府に関連するグループによって行われたという確信が高まり、最終的にはラザルス グループであると自信を持って結論付けることができました。」
ランサムウェアからサイバースパイまで
彼らをこの活動に導いたインシデントは、XNUMX 月末にパッチが適用されていない Zimbra メール サーバーの既知の脆弱性を悪用することによって達成された、最初の侵害と権限昇格によって始まりました。 攻撃者は XNUMX 週間以内に、そのサーバーのメールボックスから何ギガバイトものデータを盗み出しました。 XNUMX 月までに、攻撃者はネットワーク全体を横方向に移動し、 土地から離れた生活 (LotL) 手法 途中。 XNUMX 月までに、侵害された資産は コバルトストライク コマンド アンド コントロール (C2) インフラストラクチャであり、その間、攻撃者はネットワークから約 100GB のデータを盗み出しました。
調査チームは、悪者が使用するバックドアにエラー メッセージが表示されたことから、この事件を「ノー パイナップル」と名付けました。 データがセグメント化されたバイト サイズを超えた場合。
研究者は、マルウェア、TTP、およびデータ抽出中の XNUMX つの重要なアクションを含むいくつかの調査結果に基づいて、この活動が Lazarus グループの活動と一致することを確信していると言います。 彼らは、北朝鮮に属する IP アドレスに短時間接続する、攻撃者が制御する Web シェルを発見しました。 国にはそのような住所が XNUMX 件もありません。最初、研究者は間違いではないことを確認する前に、それは間違いではないかと考えました。
WithSecure の脅威インテリジェンス責任者である Tim West は、次のように述べています。
研究者がインシデントを掘り下げ続けると、脅威アクターが制御する C2 サーバーの XNUMX つへの接続に基づいて、攻撃の追加の犠牲者を特定することもできました。 その他の被害者には、ヘルスケア研究会社が含まれていました。 エネルギー、研究、防衛、ヘルスケアの分野で使用される技術のメーカー。 主要な研究大学の化学工学部。
研究者が観察したインフラストラクチャは昨年 2022 月以降に確立されており、ほとんどの侵害は XNUMX 年の第 XNUMX 四半期に発生しています。キャンペーンの被害者学に基づいて、アナリストは、脅威アクターが医療のサプライ チェーンを意図的に標的にしたと考えています。研究とエネルギー分野。
ラザロは決して長く留まらない
Lazarus は、北朝鮮の外国情報偵察局によって運営されていると広く考えられている長期にわたる脅威グループです。 脅威の研究者は、2009 年までさかのぼるこのグループの活動を突き止めており、それ以来、数年にわたって継続的な攻撃が発生しており、その間に短期間しか発生しませんでした。
動機はどちらも金銭的なものです — それは重要です 政権の収入源 —そしてスパイ関連。 2022 年には、Lazarus からの高度な攻撃に関する多数のレポートが出現しました。 AppleのM1チップを標的に、 と同様 偽の求人情報詐欺。 似たような 昨年XNUMX月の攻撃 悪意のあるファイルを化学部門と IT の標的に送信し、非常に魅力的な夢の仕事の求人を装いました。
一方、 先週、FBIが確認した Lazarus Group の脅威アクターは、Horizon Bridge と呼ばれるブロックチェーン企業 Harmony のクロスチェーン通信システムから、昨年 100 月に 60 億ドルの仮想通貨を盗んだ責任があるとされています。 FBI の捜査官は、このグループが XNUMX 月初めに Railgun プライバシー プロトコルを使用して、Horizon Bridge 強盗で盗まれた XNUMX 万ドル以上の価値のある Ethereum を洗浄したと報告しています。 当局は、「これらの資金の一部」を凍結できたと述べています。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/ics-ot/lazarus-group-rises-again-gather-intelligence-energy-healthcare-firms
