Een operatie binnen de beruchte Lazarus Group in Noord-Korea, die zich aanvankelijk uitsluitend richtte op aanvallen op het delven van munten, richt zich nu op organisaties uit de defensiesector over de hele wereld.
De focusverschuiving van het DeathNote-cluster begon in 2020 met aanvallen op automobiel- en academische organisaties in Oost-Europa die verband houden met de defensie-industrie. Onderzoekers van Kaspersky die de activiteiten van DeathNote hebben gevolgd, ontdekten dat de Lazarus-subgroep die aanval opvolgde met daaropvolgende campagnes op defensie- en defensiegerelateerde bedrijven in Europa, Latijns-Amerika, Afrika en Zuid-Korea.
Een lopende RAT-campagne
Kaspersky observeerde DeathNote alleen al in 2022 betrokken bij twee campagnes tegen defensiebedrijven. Een daarvan loopt nog en betreft een organisatie van de defensiesector in Afrika. De beveiligingsverkoper ontdekte de campagne afgelopen juli en ontdekte dat DeathNote in eerste instantie het bedrijf had geschonden via een getrojaniseerde, open source pdf-lezer die via Skype Messenger was verzonden. Eenmaal uitgevoerd, creëerde de pdf-lezer een legitiem bestand en een kwaadaardig bestand in dezelfde map op de geïnfecteerde machine.
Vervolgens gebruikte het een techniek die bekend staat als DLL-sideloading om malware te installeren om systeeminformatie te stelen en downloadde het een geavanceerde tweede-traps trojan voor externe toegang (RAT) genaamd Copperhedge van een door een aanvaller bestuurde command-and-control-server (C2). Copperhedge is malware die clusters van Lazarus Group hebben gebruikt bij andere aanvallen, waaronder een tegen een Zuid-Koreaans IT-bedrijf in 2021.
Kaspersky's analyse van de aanval toonde aan dat de malware talloze legitieme Windows-commando's en -tools zoals Mimikatz gebruikte voor alles van de eerste verkenning op een gecompromitteerd hostsysteem en het verkrijgen van inloggegevens tot laterale verplaatsing en exfiltratie. Om bijvoorbeeld basissysteeminformatie te verkrijgen, gebruikte de malware Windows-commando's om TCP- en systeeminformatie te vinden, of om de opgeslagen serverlijst uit het register te doorzoeken.
Om lateraal te bewegen, gebruikte de acteur een techniek genaamd ServiceMove die gebruikmaakt van Windows Perception Simulation Service om willekeurige DLL-bestanden te laden, zei Kaspersky. "Toen de groep zijn missie voltooide en begon met het exfiltreren van gegevens, gebruikten ze meestal het WinRAR-hulpprogramma om bestanden te comprimeren en te verzenden via C2-communicatiekanalen."
De tactieken, technieken en procedures (TTP's) die DeathNote gebruikte in zijn campagne tegen de defensie-aannemer in Afrika waren vergelijkbaar met die welke Kaspersky waarnam in een andere campagne in 2022 die een defensiebedrijf in Latijns-Amerika trof.
Een steeds groter wordend scala aan cyberdoelen
Kaspersky-beveiligingsonderzoeker Seongsu Park zegt dat de evolutie van DeathNote van cryptocurrency-mining-aanvallen naar spionage in de defensiesector consistent is met de inspanningen van de Lazarus Group om de lijst met doelwitten in de loop der jaren uit te breiden.
“Terwijl ze vooral viel de defensiesector aan in het verleden, zoals we onlangs hebben gepubliceerd, hebben ze zich ook gericht op denktanks en de medische sector”, legt hij uit. "Dit toont het brede scala aan doelen van de groep aan."
Lazarus Group, waarvan velen geloven dat het een Advanced Persistent Threat (APT) is die gelieerd is aan de Noord-Koreaanse regering, trok voor het eerst de aandacht met een aanval in 2014 op Sony Pictures over een satirische film over de Noord-Koreaanse leider Kim Jong-un. In de loop der jaren hebben onderzoekers de groep in verband gebracht met tal van andere spraakmakende aanvallen, waaronder de WannaCry-ransomware uitbraak, aanvallen die tientallen miljoenen dollars hebben gekost banken in Bangladesh, en aanvallen op majoor cryptocurrency-bedrijven.
Het DeathNote-cluster is slechts een van de ten minste zeven afzonderlijke Lazarus-malwareclusters die momenteel actief zijn. De anderen zijn volgens Kaspersky ThreatNeedle, Bookcode, AppleJeus, Mata, CookieTime en Manuscrypt. De Lazarus-groep beheert verschillende clusters tegelijk en elk van deze clusters werkt op een geavanceerde manier, met behulp van zijn eigen malware-toolkit met soms overlappende functies, zegt Park.
"Elk van hun clusters verandert van tijd tot tijd van doel", merkt Park op. "We hebben geconstateerd dat andere clusters, bijvoorbeeld CookieTime en Bookcode, behorend tot de Lazarus-groep, zich ook eerder op de defensie-industrie hebben gericht."
De typische TTP's van DeathNote omvatten het gebruik van spear-phishing-e-mails met bewapende Word- of PDF-reader-apps. Tijdens de dagen dat het cluster zich concentreerde op het delven van munten, gebruikte het kunstaas met cryptocurrency-thema om slachtoffers ertoe te brengen de initiële infectievector uit te voeren. Sinds de overstap naar defensiedoelen gebruikt de cluster lokaas met defensiethema's - inclusief lokaas dat beweert vacatures te zijn - als phishing-lokaas. Kaspersky zei dat DeathNote alleen de payload van de tweede fase liet vallen op systemen van slachtoffers die het waardevol achtte vanuit het oogpunt van cyberspionage.
Op dit moment hebben de campagnes van DeathNote, gericht op de defensiesector, in ieder geval geen invloed gehad op Amerikaanse organisaties.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://www.darkreading.com/vulnerabilities-threats/lazarus-group-deathnote-cluster-pivots-defense-sector
