Grupa Lazarus powraca z atakiem na łańcuch dostaw

Badacze z firmy Kaspersky zauważyli, że północnokoreański APT wykorzystuje nowy wariant BlindingCan RAT, aby móc się włamać do łotewskiego dostawcy IT i do południowokoreańskiego think tanku.

Lazarus – to północnokoreańska grupa zaawansowanego trwałego zagrożenia (APT) – pracuje nad przeprowadzaniem ukierunkowanych na cyberszpiegostwo ataków na łańcuchy dostaw za pomocą wieloplatformowej struktury MATA.

Struktura złośliwego oprogramowania MATA może atakować trzy systemy operacyjne: Windows, Linux i macOS. MATA była od dawna wykorzystywana do kradzieży baz danych klientów i rozpowszechniania oprogramowania ransomware w różnych branżach, ale w czerwcu badacze z firmy Kaspersky wyśledzili Lazarusa przy użyciu MATA do cyberszpiegostwa.

„Włamywacz dostarczył trojańską wersję aplikacji, o której wiadomo, że jest używana przez wybraną przez siebie ofiarę – dobrze znaną cechę Lazarus” – napisali badacze firmy Kaspersky w najnowszym kwartalnym raporcie, dotyczącym analizy zagrożeń, opublikowanym we wtorek.

To nie pierwszy raz, kiedy Lazarus zaatakował przemysł obronny, zauważył Kaspersky, wskazując na podobną kampanię ThreatNeedle z połowy 2020 r.

Lazarus przyspiesza ataki w łańcuchu dostaw

Badacze zauważyli również, że Lazarus buduje możliwości ataku w łańcuchu dostaw za pomocą zaktualizowanego klastra szkodliwego oprogramowania DeathNote (znanego również jako Operation Dream Job), który składa się z nieco zaktualizowanego wariantu północnokoreańskiego trojana zdalnego dostępu (RAT) znanego jako BlindingCan.

Amerykańska Agencja ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) wysłała ostrzeżenie dotyczące BlindingCan w sierpniu 2020 r., ostrzegając, że Hidden Cobra – inna nazwa Lazarusa, która jest ogólnie używana przez Stany Zjednoczone w odniesieniu do złośliwej aktywności cybernetycznej przez rząd Korei Północnej – używała BlindingCan do pozyskiwania informacji wywiadowczych o wyposażeniu wojskowym i energetycznym.

Badacze odkryli również kampanie wymierzone w południowokoreański think tank – z łańcuchem infekcji obejmującym legalne południowokoreańskie oprogramowanie zabezpieczające, które zawierało złośliwy ładunek – oraz łotewskiego dostawcę narzędzi do monitorowania zasobów IT.

Lazarus ma ochotę na infiltrację wojska

Badacze uważają, że Lazarus, który działa od co najmniej 2009 roku, jest jednym z najbardziej aktywnych cyberprzestępców na świecie. „Ta grupa APT stoi za zakrojonymi na szeroką skalę kampaniami cyberszpiegostwa i oprogramowania ransomware i została zauważona, jak atakuje przemysł obronny i rynki kryptowalut” – zauważyli badacze z Kaspersky. „Mając do dyspozycji szereg zaawansowanych narzędzi, wydaje się, że stosują je do nowych celów”.

Ataki Lazarusa na wojsko obejmują kampanię odkrytą w lipcu, w której APT rozpowszechniał złośliwe dokumenty wśród poszukujących pracy inżynierów, podszywając się pod wykonawców obrony poszukujących kandydatów.

Wcześniej, w lutym, badacze powiązali kampanię typu spear phishing z 2020 r. z APT, która miała na celu kradzież krytycznych danych od firm z branży obronnej poprzez wykorzystanie zaawansowanego szkodliwego oprogramowania o nazwie ThreatNeedle.

„Co za rakieta”

W ramach łańcucha infekcji przeciwko łotewskiemu dostawcy narzędzi do monitorowania zasobów Lazarus użył programu do pobierania o nazwie Racket, który cyberprzestępcy podpisali przy użyciu skradzionego certyfikatu. „Włamywacz dostał się na podatne serwery internetowe i przesłał kilka skryptów do filtrowania i kontrolowania szkodliwych implantów na pomyślnie złamanych maszynach” – powiedział Kaspersky w podsumowaniu swojego kwartalnego raportu.

Ariel Jungheit, starszy badacz ds. bezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz firmy Kaspersky (GReAT), powiedział w podsumowaniu, że ostatnie odkrycia pokazują, że Lazarus nadal chce infiltrować przemysł obronny, ale chce również rozszerzyć się na ataki w łańcuchu dostaw.

„Po pomyślnym przeprowadzeniu ataków na łańcuch dostaw może przynieść druzgocące wyniki, dotykając znacznie więcej niż jedną organizację – coś, co wyraźnie widzieliśmy w przypadku ataku SolarWinds w zeszłym roku”, powiedział Jungheit, odnosząc się do fali włamań do łańcucha dostaw znanych jako SolarWinds. przez Nobelium APT pod koniec zeszłego roku.