Οι hackers Lazarus έκλεβαν δεδομένα επί 2 μήνες

Στην ομάδα των hackers, Lazarus από την Βόρεια Κορέα, αποδόθηκε με μια νέα εκστρατεία κυβερνοκατασκοπείας, γνωστή ως “No Pineapple!”, όπου επί 2 μήνες περίπου έκλεβαν δεδομένα, αθόρυβα, χωρίς να προκαλούν καμία «καταστροφή».

Κατά τη διάρκεια αυτής της περιόδου, οι hackers κατάφεραν να κλέψουν 100GB πληροφοριών από τα θύματα τους, που ανάμεσα τους ήταν οργανισμοί ιατρικών ερευνών, υγειονομικής περίθαλψης, χημικής μηχανικής, ενέργειας, άμυνας, αλλά και ένα ερευνητικό πανεπιστήμιο.

Δείτε επίσης: TikTok: Θα αφαιρεθεί από Google Play και App Store της Apple;

Η εκστρατεία “No Pineapple!” αποκαλύφθηκε από τη φινλανδική εταιρεία cybersecurity WithSecure.
Οι αναλυτές της εταιρείας κλήθηκαν αρχικά να εξετάσουν μια πιθανή ransomware επίθεση σε έναν από τους πελάτες τους, αλλά λόγω ενός λάθους που έκανε η ομάδα των hackers Lazarus, κατάφεραν να συνδέσουν την εκστρατεία με την ομάδα Apt38 – από τη Βόρεια Κορέα.

Η WithSecure παρατήρησε επίσης ορισμένες νέες εξελίξεις εντός της ομάδας Lazarus
– τη χρήση νέων υποδομών που χρησιμοποιούν διευθύνσεις IP χωρίς ονόματα domain
– μια νέα έκδοση του info-stealer malware Dtrack
– μια νέα έκδοση του malware GREASE που χρησιμοποιείται για τη δημιουργία administrator λογαριασμού και παράκαμψη της ασφάλειας.

Η εκστρατεία έχει πάρει το όνομά της από το “No Pineapple!” error που μεταδίδεται από ένα remote access malware κατά τo upload κλεμμένων δεδομένων στους servers του δραστών.

Αθόρυβη κλοπή δεδομένων
Οι hackers της Lazarus εισέβαλαν με επιτυχία στο δίκτυο του θύματος στις 22 Αυγούστου 2022 χρησιμοποιώντας δύο ευπάθειες του Zimbra, CVE-2022-27925 (RCE) και CVE-2022-37042 (Authentication Bypass). Εκμεταλλεύτηκαν αυτές τις 2 ευπάθειες για να τοποθετήσουν ένα webshell στο mail server αλληλογραφίας του θύματος.

Η RCE ευπάθεια έιχε διορθωθεί τον Μάιο του 2022, αλλά η Zimbra δεν είχε κυκλοφορήσει κάποιο update για την αντιμετώπιση την Authentication Bypass ευπάθειας μέχρι τις 12 Αυγούστου.
Μέχρι τότε όμως, η ευπάθεια ήδη αξιοποιούνταν από τους απειλητικούς παράγοντες.

Μόλις παραβίασαν το δίκτυο οι hackers, χρησιμοποίησαν εργαλεία όπως το “Plink” και το “3Proxy” για να  παρακάμψουν το firewall.
Σύμφωνα με την WithSecure, άρχισαν να χρησιμοποιούν τροποποιημένα scripts μέσα σε μια εβδομάδα από την παραβίαση του δικτύου.
Αυτά τους επέτρεψαν να κλέψουν γύρω στα 5GB από e-mails από τον server και να τα αποθηκεύσουν σε ένα αρχείο CSV που ήταν τοπικά αποθηκευμένο – στη συνέχεια γινόταν upload στον server των επιτιθέμενων.

Δείτε επίσης: OilRig: Χρησιμοποιεί νέο backdoor για να κλέψει data από κυβερνητικές οργανώσεις

SecNewsTV

23.6K subscribers

Περισσότερα... Subscribe!

Μέσα στους επόμενους δύο μήνες, η ομάδα Lazarus εξαπλώθηκε σε όλο το δίκτυο, αποκτώντας Administrator credentials και κλέβοντας δεδομένα από διάφορες συσκευές

Στο διάστημα αυτό, η Lazarus ανέπτυξε αρκετά custom εργαλεία, όπως το Dtrack και μια νέα έκδοση του malware GREASE, το οποίο χρησιμοποιήθηκε για τον εντοπισμό των Windows  administrator λογαριασμών.
Το Dtrack είναι ένα αρκετά γνωστό info-stealing backdoor που χρησιμοποιούν οι hackers της Lazarus, ενώ το GREASE είναι ένα malware που φαίνεται να σχετίζεται με την Kimusky, μια άλλη ομάδα hacker που χρηματοδοτείται από το κράτος της Βόρειας Κορέας.

Η επίθεση έφτασε στο απόγειό της στις 5 Νοεμβρίου 2022, με τους απειλητικούς παράγοντες να είναι «μέσα» στο δίκτυο για πάνω από δύο μήνες και να κλέβουν με επιτυχία 100 GB δεδομένων από τον οργανισμό-στόχο.

Η WithSecure ανέλυσε τα μοτίβα εργασίας της ομάδας Lazarus και διαπίστωσε ότι δούλευαν από Δευτέρα έως Σάββατο, από τις 9 το πρωί. έως τις 10 το βράδυ.

Δείτε επίσης: Αυξάνεται η χρήση των εγγράφων Microsoft OneNote για την παράδοση malware

Μια σημαντική αλλαγή παρατηρήθηκε σε αυτή την τελευταία εκστρατεία του Lazarus – χρησιμοποιούν πλέον μόνο διευθύνσεις IP χωρίς domain ονόματα

Αυτή η αλλαγή έχει πολλά, όπως μειωμένη ανάγκη για συντήρηση και μεγαλύτερη ευελιξία στην IP διεύθυνση. Επιπλέον, μια νέα παραλλαγή του Dtrack εντοπίστηκε σε αυτές τις πρόσφατες επιθέσεις, η οποία μεταφέρεται από ένα .exe αρχείο με το όνομα “onedriver”.

Σε αντίθεση με τις προηγούμενες εκδόσεις, αυτή η παραλλαγή δεν χρησιμοποιεί πλέον τον δικό της c2 server για την εξαγωγή δεδομένων. Αντ’ αυτού, βασίζεται σε ένα ξεχωριστό backdoor για τη μεταφορά των local δεδομένων από το εκτεθειμένο σύστημα και τα αποθηκεύει σε ένα προστατευμένο αρχείο.
Το νέο malware, GREASE, όπου και χρησιμοποιείται από τη Lazarus εκτελείται υπολογιστή (host) ως DLL (Ord.dll) και αποκτά υψηλότερα προνόμια αξιοποιώντας την ευπάθεια PrintNightmare.

Αυτή η έκδοση του κακόβουλου λογισμικού διαφέρει από τις προηγούμενες στο ότι τώρα χρησιμοποιεί το RDPWrap για να εγκαταστήσει μια υπηρεσία RDP στον κεντρικό υπολογιστή και να δημιουργήσει έναν «προνομιακό user λογαριασμό» με τη βοήθεια των “net user” εντολών.

Ακόμη και οι πιο προηγμένες ομάδες hacker όπως η Lazarus, κάνουν λάθη
Στην προκειμένη περίπτωση, τα λάθη αυτά οδήγησαν στην απόδοση της εκστρατείας κυβερνοκατασκοπείας στην ομάδα.
Κατά τη διάρκεια της έρευνας της WithSecure στα log files του θύματος, διαπίστωσαν ότι ένα από τα webshells που ήταν εγκατεστημένο από τους εισβολείς επικοινωνούσε με μια διεύθυνση IP της Βόρειας Κορέας (175.45.176.27).

Η WithSecure διαπίστωσε ότι διάφορες εντολές που εκτελέστηκαν ήταν παρόμοιες με αυτές που είναι hardcoded στο Lazarus malware, περιείχαν λάθη, υποδεικνύοντας ότι τις πληκτρολογούσαν χειροκίνητα χρησιμοποιώντας τo Impacket ‘atexec’ module.

Εκτός από τα λάθη, η WithSecure κατάφερε να συνδέσει αυτές τις “επιχειρήσεις” με την Lazarus, με τη βοήθεια των TTP overlaps που περιγράφονται λεπτομερώς σε προηγούμενες εκθέσεις της Symantec και της Cisco Talos.

Η έκθεση της WithSecure αποτελεί μια ένδειξη της δραστηριότητας της Lazarus ομάδας, να συνεχίζει τις προσπάθειές της για τη συλλογή πληροφοριών και την εξαγωγή μεγάλου όγκου δεδομένων από θύματα υψηλού «επιπέδου».

Πηγή πληροφοριών: bleepingcomputer.com