Forscher von WithSecure haben eine Cyberangriffskampagne aufgedeckt, die mit Nordkoreas berüchtigter Lazarus-Gruppe in Verbindung steht.
Es ist äußerst selten, dass eine Kampagne so stark mit einem Täter in Verbindung gebracht werden kann, wie es WithSecure hier gelungen ist. Die Hacker haben medizinische Forschungs-und Energieorganisationen ins Visier genommen, um Spionage zu begehen.
Zu den Zielen gehört auch eine Gesundheitsforschungsorganisation, ein Hersteller von Technologie, die in den Bereichen Energie, Forschung, Verteidigung und Gesundheitswesen eingesetzt wird als die Fakultät für Chemieingenieurwesen einer führenden Forschungsuniversität.
Im Vergleich zu früheren Lazarus-Aktivitäten weist diese Kampagne mehrere interessante Elemente auf. Dazu gehört die Verwendung einer neuen Infrastruktur, die sich ausschließlich auf IP-Adressen ohne Domänennamen verlässt (in Abkehr von früheren Angriffen).
Es gibt auch eine modifizierte Version der Dtrack-Malware, die Informationen stiehlt und von der Lazarus Group verwendet wird Kimsuky – eine weitere Gruppe, die mit Nordkorea in Verbindung gebracht wird – in früheren Angriffen, zusammen mit einer neuen Version von GREASE – Malware, die es Angreifern ermöglicht, neue Administratorkonten mit Remote-Desktop-Protokoll-Privilegien zu erstellen, die Firewalls umgehen.
“Obwohl ursprünglich vermutet wurde, dass es sich um einen versuchten BianLian-Ransomware-Angriff handelte, deuteten die von uns gesammelten Beweise schnell in eine andere Richtung, und als wir mehr Beweise sammelten, wurden wir zuversichtlicher, dass der Angriff letztendlich von einer Gruppe durchgeführt wurde, die mit der nordkoreanischen Regierung in Verbindung steht was uns zuversichtlich zu dem Schluss führt, dass es sich um die Lazarus-Gruppe handelt”, sagt Sami Ruohonen, Senior Threat Intelligence Researcher bei WithSecure.
Der Angriff wurde teilweise aufgrund von ein Fehler, bei dem die Angreifer kurzzeitig eine von weniger als tausend IP-Adressen aus Nordkorea nutzten.
Aber Tim West, Head of Threat Intelligence bei WithSecure, sagt, dies sei kein Grund zur Selbstzufriedenheit:”Trotz der opsec fehlschlägt, bewies der Akteur gutes Handwerk und schaffte es dennoch, überlegte Aktionen an sorgfältig ausgewählten Endpunkten durchzuführen. Selbst mit genauen Endpoint-Erkennungstechnologien müssen Unternehmen kontinuierlich überlegen, wie sie auf Warnungen reagieren, und außerdem gezielte Bedrohungsinformationen in regelmäßige Jagden integrieren, um eine bessere Verteidigung in der Tiefe zu bieten, insbesondere gegen fähige und geschickte Gegner.”
The vollständiger Bericht ist verfügbar auf der WithSecure-Website.
Bildnachweis: tang90246/depositphotos.com