Lazarus grupa napada tvrtku za kriptovalute putem LinkedIn oglasa za posao

  • Sep 04, 2023

Ažurirano: Administrator sustava pokazao se kao slaba karika, otvarajući vrata Lazarusu za napad.

The grupa Lazarus ponovno je u potrazi za kriptovalutom i sada je pokrenuo ciljani napad na kripto organizaciju iskorištavanjem ljudskog elementa korporativnog lanca.

Sigurnost

  • 8 navika iznimno sigurnih radnika na daljinu
  • Kako pronaći i ukloniti špijunski softver s telefona
  • Najbolje VPN usluge: Kako se uspoređuju prvih 5?
  • Kako saznati jeste li uključeni u povredu podataka -- i što učiniti sljedeće

U utorak su istraživači kibernetičke sigurnosti iz F-Securea rekli da je organizacija za kriptovalute jedna od najnovije žrtve u globalnoj kampanji koja je ciljala tvrtke u najmanje 14 zemalja, uključujući UK i SAD.

Lazarus je skupina za naprednu trajnu prijetnju (APT) za koju se smatra da je povezana Sjeverna Koreja. Ekonomske sankcije protiv zemlje uvedene zbog nuklearnih programa, kršenja ljudskih prava i još mnogo toga možda imaju veze s grupom koja se usredotočuje na financijski motivirane napade koji su se proširili na kriptovalute u posljednja tri godine.

Američka vlada kaže da je Lazar bio formirana 2007. godine i od tada su istraživači toj skupini pripisivali odgovornost za globalno WannaCry napadni val, 80 milijuna dolara Pljačka banke u Bangladešu i 2018 HaoBao Kampanja krađe bitcoina.

Vidi također: SAD optužuje dvojicu kineskih državljana za pranje kriptovalute za sjevernokorejske hakere

Prema F-Secureu, posljednji Lazarusov napad praćen je putem oglasa za posao na LinkedInu. Ljudska meta, administrator sustava, primio je phishing dokument na svoj osobni LinkedIn račun koji se odnosio na tvrtku za tehnologiju blockchaina koja traži novog administratora sustava kod zaposlenika skup vještina.

E-pošta za krađu identiteta slična je uzorcima Lazarusa koji su već dostupni na VirusTotal, uključujući ista imena, autore i elemente broja riječi.

Kao što je slučaj s mnogim phishing dokumentima, morate navesti žrtvu da omogući makronaredbe koje skrivaju zlonamjerni kod kako bi bile učinkovite. U ovom slučaju, Microsoft Word dokument je tvrdio da je zaštićen prema EU Općoj uredbi o zaštiti podataka (GDPR), pa se sadržaj dokumenta mogao prikazati samo ako su makronaredbe bile omogućene.

Nakon što je dopuštenje odobreno, makronaredba dokumenta stvorila je .LNK datoteku dizajniranu za izvođenje datoteke pod nazivom mshta.exe i pozivanje bit.ly veze povezane s VBScriptom.

Ova skripta provodi provjere sustava i šalje operativne informacije poslužitelju za naredbe i kontrolu (C2). C2 pruža PowerShell skriptu koja može dohvatiti Lazarus zlonamjerni softver.

CNET: Nagodba podataka o lokaciji Weather Channela ne znači mnogo za vašu privatnost

Lanac infekcije mijenja se ovisno o konfiguraciji sustava i nizu alata koje akteri prijetnji koriste. To uključuje dva stražnja implantata slična onima koje je već dokumentirao Kaspersky (.PDF) i ESET.

Lazarus također koristi prilagođeni prijenosni izvršni (PE) učitavač, učitan u proces lsass.exe kao 'sigurnosni' paket koji mijenja ključeve registra pomoću uslužnog programa Windows schtasks.

Ostale varijante zlonamjernog softvera koje koristi Lazarus mogu izvršavati proizvoljne naredbe, dekomprimirati podatke u memoriji, kao i preuzimati i izvršavati dodatne datoteke. Ovi uzorci, uključujući datoteku pod nazivom LSSVC.dll, također su korišteni za povezivanje backdoor implantata s drugim ciljnim hostovima.

TechRepublic: CISO bi trebali staviti na svoje radare sigurnost od prijevara oglasa

Prilagođena verzija Mimikatza koristi se za prikupljanje vjerodajnica sa zaraženog stroja, posebno onih s financijskom vrijednošću -- kao što je novčanici za kriptovalute ili online bankovni računi.

F-Secure kaže da je Lazarus pokušao izbjeći otkrivanje brisanjem dokaza, uključujući brisanje sigurnosnih događaja i zapisa. Međutim, još uvijek je bilo moguće uhvatiti nekoliko uzoraka trenutnog alata APT-a za istraživanje trenutnih aktivnosti grupe.

"Procjena F-Securea je da će grupa nastaviti ciljati na organizacije unutar vertikale kriptovaluta dok je takva profitabilna potraga, ali se također može proširiti na ciljanje elemenata opskrbnog lanca vertikale kako bi se povećali povrati i dugovječnost kampanje," kažu istraživači.

Ažuriranje u 19.16 BST: Paul Rockwell, voditelj odjela za povjerenje i sigurnost u LinkedInu, rekao je za ZDNet:

"Aktivno tražimo znakove aktivnosti pod pokroviteljstvom države na platformi i brzo poduzimamo mjere protiv loših aktera kako bismo zaštitili naše članove. Ne čekamo na zahtjeve, naš tim za obavještavanje o prijetnjama uklanja lažne račune pomoću informacija koje otkrijemo i obavještajnih podataka iz raznih izvora, uključujući vladine agencije. Naši timovi koriste razne automatizirane tehnologije, u kombinaciji s obučenim timom recenzenata i prijavama članova, kako bi zaštitili naše članove od svih vrsta loših aktera. Provodimo naša pravila koja su vrlo jasna: stvaranje lažnog računa ili lažna aktivnost s namjerom da se naši članovi dovedu u zabludu ili lažu predstavlja kršenje naših uvjeta pružanja usluge." 

Prethodno i povezano izvješće

  • Lazarus se okreće napadima na Linux preko Dacls Trojana
  • Sjevernokorejski državni hakeri navodno planiraju phishing kampanju protiv COVID-19 koja cilja 5 milijuna u šest zemalja
  • Hakerska skupina Lazarus ponovno se uzdiže s novim kibernetičkim napadima na banke koji kradu bitcoine

Imate savjet? Stupite u kontakt sigurno putem WhatsAppa | Signal na +447713 025 499 ili na Keybase: charlie0