Grupa Lazarus, grupa zaawansowanego trwałego zagrożenia (APT) zgodna z interesami rządu Korei Północnej, organizuje kampania cyberataków przeciwko organizacjom działającym w branży kryptowalut z siedzibą w Niemczech, Japonii, Holandii, Singapurze, Wielkiej Brytanii i Stanach Zjednoczonych – wynika z nowych badań przeprowadzonych przez firmę F-Secure.
Lazarus, który również nosi nazwę APT38 i został w tyle włamanie do Sony Pictures z 2014 roku i incydent WannaCry w 2017 roku, został podany przez badaczy F-Secure podczas dochodzenia w odpowiedzi na incydent przeprowadzonego przez fińską firmę ochroniarską u ofiary. Podczas tego procesu okazało się, że złośliwe implanty użyte w ataku były praktycznie identyczne z innymi narzędziami używanymi wcześniej przez Lazarusa.
„Nasze badania, które obejmowały spostrzeżenia z naszej reakcji na incydent, zarządzania wykrywaniem i reakcją oraz taktycznych jednostek obronnych, wykazały, że ten atak ma wiele podobieństw do znanych działań Grupy Lazarus, więc jesteśmy przekonani, że to oni stali za tym incydentem” – powiedział Matt Lawrence, dyrektor ds. Wykrywania i reagowania w firmie F-Secure.
„Dowody sugerują również, że jest to część trwającej kampanii skierowanej do organizacji w kilkunastu krajach, co sprawia, że przypisanie udziału jest ważne. Firmy mogą skorzystać z raportu, aby zapoznać się z tym incydentem, TTP [tactics, techniques and procedures]i ogólnie Lazarus Group, aby chronić się przed przyszłymi atakami ”.
W nowo opublikowanym raporcieFirma F-Secure przedstawiła szczegóły ataku, który wydaje się rozpoczynać od przekonującego ataku typu spear-phishing przeprowadzonego za pośrednictwem LinkedIn w postaci fałszywej oferty pracy dostosowanej do profilu celu.
Ta wiadomość phishingowa była bardzo podobna do publicznie dostępnych próbek przesłanych do VirusTotal i zawierała dokument, który rzekomo był chroniony przez ogólne rozporządzenie o ochronie danych (RODO) i aby uzyskać do niego dostęp, należało włączyć go w programie Microsoft Word. Włączenie tej zawartości spowodowało wykonanie złośliwego osadzonego kodu makr w systemie ofiary.
Raport szczegółowo opisuje łańcuch infekcji użyty w tej konkretnej kampanii, a także inne TTP używane przez Lazarusa.
Lawrence ostrzegł, że Lazarus poświęca wiele wysiłku, aby uniknąć obrony swoich celów podczas ataku, na przykład wyłączając oprogramowanie antywirusowe na zainfekowanych hostach i usuwając dowody na obecność złośliwych implantów.
To nie pierwszy raz, kiedy Łazarza łączy się z atakami przeciwko operatorom kryptowalut – czego prawdopodobnie dokonuje w ramach stosunkowo prostego programu kradzieży pieniędzy w celu generowania funduszy dla odizolowanego, zubożałego reżimu północnokoreańskiego.
Najpierw uwaga grupy zwróciła się na giełdy kryptowalut w Korei Południowej w 2017 roku, kiedy ukradł 7 milionów dolarów z giełdy Bithumb. Późniejsze badania powiązały to z innymi kampaniami typu spear-phishing przeciwko celom z Korei Południowej, a także z wydobywaniem kryptowalut.
F-Secure powiedział, że Lazarus pozostaje ciągłym zagrożeniem, a organizacje w branży kryptowalut powinny być szczególnie czujne, chociaż ostrzegło również, że kampania może rozszerzyć się na elementy łańcucha dostaw w pionie, a także niektóre z nowszych infrastruktury dowodzenia i kontroli (C2) zidentyfikowane w trakcie badań sugeruje, że może to być również skierowane do organizacji zajmujących się inwestycjami finansowymi.
Na szczęście, jak dodano w raporcie, Lazarus ponownie wykorzystuje narzędzia, które wyraźnie sprawdzają się dla jego celów w wielu kampaniach, więc jest stosunkowo łatwe do wykrycia. Sugeruje to, że może to oznaczać, że grupie brakuje możliwości łatwego przezbrajania.
