Η ομάδα Lazarus για ακόμη μια φορά ξεκίνησε στοχεύμενη επίθεση εναντίον εταιρείας cryptocurrency στοχοποιώντας υπάλληλο του οργανισμού μέσω επίθεσης phishing.
Την Τρίτη, οι ερευνητές κυβερνοασφάλειας από την F-Secure δήλωσαν ότι μια εταιρεία cryptocurrency είναι ένα από τα πιο πρόσφατα θύματα σε μια παγκόσμια εκστρατεία που έχει στοχεύσει επιχειρήσεις σε τουλάχιστον 14 χώρες, συμπεριλαμβανομένου του Ηνωμένου Βασιλείου και των ΗΠΑ.
Η Lazarus είναι προηγμένη ομάδα hacking που πιστεύεται ότι συνδέεται με τη Βόρεια Κορέα. Οι οικονομικές κυρώσεις εναντίον της χώρας που επιβλήθηκαν λόγω πυρηνικών προγραμμάτων, παραβιάσεων των ανθρωπίνων δικαιωμάτων και πολλά άλλα μπορεί να έχουν σχέση με την ομάδα, η οποία επικεντρώνεται σε επιθέσεις με οικονομικά κίνητρα και τα τελευταία τρία χρόνια έχει επεκταθεί και στο cryptocurrency.
Η αμερικανική κυβέρνηση αναφέρει ότι η ομάδα Lazarus ιδρύθηκε το 2007 και έκτοτε, οι ερευνητές έχουν αποδώσει στην ομάδα το παγκόσμιο κύμα των επιθέσεων WannaCry και την εκστρατεία κλοπής Bitcoin HaoBao του 2018.
Σύμφωνα με την F-Secure, η τελευταία επίθεση της Lazarus εντοπίστηκε μέσω μιας διαφήμισης εργασίας στο LinkedIn. Ο ανθρώπινος στόχος, ένας διαχειριστής συστήματος, έλαβε ένα phishing έγγραφο στον προσωπικό του λογαριασμό στο LinkedIn που σχετίζεται με μια εταιρεία τεχνολογίας blockchain που αναζητά ένα νέο sysadmin με το σετ δεξιοτήτων του υπαλλήλου.
Το phishing email είναι παρόμοιο με τα δείγματα της ομάδας Lazarus που έχουν ήδη διατεθεί στο VirusTotal, συμπεριλαμβανομένων των ίδιων ονομάτων, συγγραφέων και στοιχείων μέτρησης λέξεων.
Όπως συμβαίνει με πολλά έγγραφα ηλεκτρονικού “ψαρέματος”, πρέπει να προσεγγιστεί ένα θύμα για να ενεργοποιηθούν οι μακροεντολές που κρύβουν κακόβουλο κώδικα για να ξεκινήσει η επίθεση. Σε αυτήν την περίπτωση, το έγγραφο του Microsoft Word ισχυρίστηκε ότι προστατεύεται σύμφωνα από τον Γενικό Κανονισμό Προστασίας Δεδομένων της ΕΕ (GDPR) και, επομένως, το περιεχόμενο του εγγράφου θα εμφανιζόταν μόνο εάν ήταν ενεργοποιημένες οι μακροεντολές.
Μόλις δινόταν άδεια, η μακροεντολή του εγγράφου δημιουργούσε ένα αρχείο .LNK που έχει σχεδιαστεί για την εκτέλεση ενός αρχείου που ονομάζεται mshta.exe και καλεί ένα link bit.ly που είναι συνδεδεμένο σε ένα VBScript.
Αυτό το script διεξάγει ελέγχους συστήματος και στέλνει επιχειρησιακές πληροφορίες σε έναν διακομιστή εντολών και ελέγχου (C2). Ο C2 παρέχει ένα PowerShell script ικανό να «φέρει» τα malware payloads της Lazarus.
Η αλυσίδα μόλυνσης αλλάζει ανάλογα με τη διαμόρφωση του συστήματος και μια σειρά εργαλείων χρησιμοποιούνται από τους απειλητικούς παράγοντες. Αυτά περιλαμβάνουν δύο backdoor εμφυτεύματα παρόμοια με αυτά που έχουν ήδη τεκμηριωθεί από την Kaspersky και την ESET.
Η ομάδα Lazarus χρησιμοποιεί επίσης έναν προσαρμοσμένο φορητό εκτελέσιμο (PE) loader, φορτωμένος στη διαδικασία lsass.exe ως πακέτο «ασφαλείας» που τροποποιεί τα κλειδιά μητρώου χρησιμοποιώντας το βοηθητικό πρόγραμμα των Windows schtasks.
Άλλες παραλλαγές malware που χρησιμοποιούνται από την ομάδα Lazarus είναι σε θέση να εκτελούν αυθαίρετες εντολές, να αποσυμπιέζουν δεδομένα στη μνήμη, καθώς και να κατεβάζουν και να εκτελούν επιπλέον αρχεία. Αυτά τα δείγματα, συμπεριλαμβανομένου ενός αρχείου που ονομάζεται LSSVC.dll, χρησιμοποιήθηκαν επίσης για τη σύνδεση των backdoor εμφυτευμάτων με άλλους στοχευμένους hosts.
Μια προσαρμοσμένη έκδοση του Mimikatz χρησιμοποιείται για τη συλλογή credentials από ένα μολυσμένο μηχάνημα, ειδικά εκείνων με οικονομική αξία – όπως πορτοφόλια κρυπτογράφησης ή διαδικτυακούς τραπεζικούς λογαριασμούς.
Η F-Secure λέει ότι η ομάδα Lazarus προσπάθησε να αποφύγει τον εντοπισμό διαγράφοντας συμβάντα ασφαλείας και αρχεία καταγραφής. Ωστόσο, ήταν ακόμα δυνατό να εμπλακούν μερικά δείγματα της τρέχουσας εργαλειοθήκης του APT για να διερευνηθούν οι τρέχουσες δραστηριότητες της ομάδας.
“Η εκτίμηση της F-Secure είναι ότι η ομάδα θα συνεχίσει να στοχεύει οργανισμούς για cryptocurrency αφού παραμένει μια τόσο κερδοφόρα επιχείρηση“, λένε οι ερευνητές.
