Badacze z firmy Kaspersky zauważyli, że północnokoreański APT wykorzystuje nowy wariant BlindingCan RAT, aby móc się włamać do łotewskiego dostawcy IT i do południowokoreańskiego think tanku.
Lazarus – to północnokoreańska grupa zaawansowanego trwałego zagrożenia (APT) – pracuje nad przeprowadzaniem ukierunkowanych na cyberszpiegostwo ataków na łańcuchy dostaw za pomocą wieloplatformowej struktury MATA.
Struktura złośliwego oprogramowania MATA może atakować trzy systemy operacyjne: Windows, Linux i macOS. MATA była od dawna wykorzystywana do kradzieży baz danych klientów i rozpowszechniania oprogramowania ransomware w różnych branżach, ale w czerwcu badacze z firmy Kaspersky wyśledzili Lazarusa przy użyciu MATA do cyberszpiegostwa.
„Włamywacz dostarczył trojańską wersję aplikacji, o której wiadomo, że jest używana przez wybraną przez siebie ofiarę – dobrze znaną cechę Lazarus” – napisali badacze firmy Kaspersky w najnowszym kwartalnym raporcie, dotyczącym analizy zagrożeń, opublikowanym we wtorek.
To nie pierwszy raz, kiedy Lazarus zaatakował przemysł obronny, zauważył Kaspersky, wskazując na podobną kampanię ThreatNeedle z połowy 2020 r.
Lazarus przyspiesza ataki w łańcuchu dostaw
Badacze zauważyli również, że Lazarus buduje możliwości ataku w łańcuchu dostaw za pomocą zaktualizowanego klastra szkodliwego oprogramowania DeathNote (znanego również jako Operation Dream Job), który składa się z nieco zaktualizowanego wariantu północnokoreańskiego trojana zdalnego dostępu (RAT) znanego jako BlindingCan.
Amerykańska Agencja ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) wysłała ostrzeżenie dotyczące BlindingCan w sierpniu 2020 r., ostrzegając, że Hidden Cobra – inna nazwa Lazarusa, która jest ogólnie używana przez Stany Zjednoczone w odniesieniu do złośliwej aktywności cybernetycznej przez rząd Korei Północnej – używała BlindingCan do pozyskiwania informacji wywiadowczych o wyposażeniu wojskowym i energetycznym.
Badacze odkryli również kampanie wymierzone w południowokoreański think tank – z łańcuchem infekcji obejmującym legalne południowokoreańskie oprogramowanie zabezpieczające, które zawierało złośliwy ładunek – oraz łotewskiego dostawcę narzędzi do monitorowania zasobów IT.
Lazarus ma ochotę na infiltrację wojska
Badacze uważają, że Lazarus, który działa od co najmniej 2009 roku, jest jednym z najbardziej aktywnych cyberprzestępców na świecie. „Ta grupa APT stoi za zakrojonymi na szeroką skalę kampaniami cyberszpiegostwa i oprogramowania ransomware i została zauważona, jak atakuje przemysł obronny i rynki kryptowalut” – zauważyli badacze z Kaspersky. „Mając do dyspozycji szereg zaawansowanych narzędzi, wydaje się, że stosują je do nowych celów”.
Ataki Lazarusa na wojsko obejmują kampanię odkrytą w lipcu, w której APT rozpowszechniał złośliwe dokumenty wśród poszukujących pracy inżynierów, podszywając się pod wykonawców obrony poszukujących kandydatów.
Wcześniej, w lutym, badacze powiązali kampanię typu spear phishing z 2020 r. z APT, która miała na celu kradzież krytycznych danych od firm z branży obronnej poprzez wykorzystanie zaawansowanego szkodliwego oprogramowania o nazwie ThreatNeedle.
„Co za rakieta”
W ramach łańcucha infekcji przeciwko łotewskiemu dostawcy narzędzi do monitorowania zasobów Lazarus użył programu do pobierania o nazwie Racket, który cyberprzestępcy podpisali przy użyciu skradzionego certyfikatu. „Włamywacz dostał się na podatne serwery internetowe i przesłał kilka skryptów do filtrowania i kontrolowania szkodliwych implantów na pomyślnie złamanych maszynach” – powiedział Kaspersky w podsumowaniu swojego kwartalnego raportu.
Ariel Jungheit, starszy badacz ds. bezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz firmy Kaspersky (GReAT), powiedział w podsumowaniu, że ostatnie odkrycia pokazują, że Lazarus nadal chce infiltrować przemysł obronny, ale chce również rozszerzyć się na ataki w łańcuchu dostaw.
„Po pomyślnym przeprowadzeniu ataków na łańcuch dostaw może przynieść druzgocące wyniki, dotykając znacznie więcej niż jedną organizację – coś, co wyraźnie widzieliśmy w przypadku ataku SolarWinds w zeszłym roku”, powiedział Jungheit, odnosząc się do fali włamań do łańcucha dostaw znanych jako SolarWinds. przez Nobelium APT pod koniec zeszłego roku.