Lazarus avancerade persistent hot (APT)-operation – som har kopplats till den nordkoreanska regeringen – drabbade flyg- och försvarsentreprenörer över hela världen i en kampanj som såg hotaktörerna missbruka sociala nätverk och meddelandeplattformar för att komma åt anställda vid sina mål.
Enligt ESET Research, som presenterade resultaten av sin undersökning vid ESET World Conference, missbrukade gruppen LinkedIn och WhatsApp genom att utge sig för att vara rekryterare för att närma sig intet ont anande anställda vid sina mål, bygga förtroende och förtroende innan de levererade skadliga komponenter förklädda som jobbbeskrivningar eller ansökan formulär.
Kampanjen är kopplad till en tidigare serie attacker – kallad Operation In(ter)caption – av en Lazarus-kopplad grupp redan 2020, som använde liknande tekniker för att rikta sig mot organisationer i Brasilien, Tjeckien, Qatar, Turkiet och Ukraina.
Kampanjen startade hösten 2021 och pågick till mars 2022 och riktade sig till verksamheter i Frankrike, Tyskland, Italien, Nederländerna, Polen, Spanien, Ukraina och Brasilien.
ESET bedömer att Lazarus avsikt var att bedriva spionage och stjäla medel, vilket är det vanliga sättet att hota aktörer som arbetar för den utblottade nordkoreanska regimen. Lyckligtvis, sa de, var kampanjen inte särskilt framgångsrik.
Men Lazarus visade viss uppfinningsrikedom i sin kampanj, säger Jean-Ian Boutin, ESET:s chef för hotforskning, som beskrev hur gruppen distribuerade en verktygsuppsättning som inkluderade en användarlägeskomponent som kunde utnyttja en redan sårbar Dell-drivrutin för att skriva till kärnminne.
“Detta avancerade trick användes i ett försök att kringgĂĄ övervakning av säkerhetslösningar,” sa Boutin.
ESET sa att det var ganska tydligt att operationen mestadels var inriktad på att attackera europeiska entreprenörer, men genom att spåra antalet undergrupper som kör liknande kampanjer kunde de fastställa att det faktiskt var mycket bredare än så, och även om typerna av skadlig programvara som användes ofta skilde sig åt, det ursprungliga lockbetet – löftet om ett nytt jobb som aldrig funnits – förblev detsamma hela tiden, vilket kanske speglar hur effektiv tekniken är.
Forskarna sa att det var särskilt anmärkningsvärt att Lazarus lade till anställningskampanjelement som man kan anse som mer legitima, som att göra tillvägagångssätt via LinkedIn, något som de flesta kontorsbaserade anställda kan relatera till. Användningen av meddelandetjänster som WhatsApp eller Slack gav kampanjen mer legitimitet.
Boutin sa att det var uppenbart att företag och civila inte längre är de vanligaste offren för illvilliga attacker, snarare löper den offentliga sektorn och anknutna entreprenörer en mycket större risk, med resultatet av ett framgångsrikt intrång potentiellt mycket allvarligare.
Som redan nämnts är ett av Lazarus främsta motiv att samla in viktiga medel till den nordkoreanska regimen, och för detta ändamål är mycket av dess verksamhet centrerad på utpressning eller stöld. På senare tid har det fokuserats särskilt på kryptovärlden, som till viss del ligger utanför det globala finansiella systemets jurisdiktion.
Tidigare i år sanktionerades Blender.io, en kryptovalutamixer som anklagats för att ha hjälpt Lazarus att tvätta stulna pengar, av det amerikanska finansdepartementet.
Lazarus tros ha kanaliserat $20,5 miljoner pengar genom Blender.io, som den stal från hackade konton som tillhör spelare i det icke-fungibla token-baserade multiplayerspelet Axie Infinity.
En attack i mars 2022 mot spelets tillverkare, Sky Mavis, sĂĄg 600 miljoner dollar i kryptovaluta stulna.
Håll kontakten med oss ​​på sociala medieplattformar för omedelbar uppdatering klicka här för att gå med i vår Twitter och Facebook
