Bezpečnostní výskumníci: Tu je návod, ako hackeri Lazarus začínajú svoje útoky

Hackerská skupina Lazarus je jednou z hlavných hrozieb kybernetickej bezpečnosti zo Severnej Kórey, ktorá nedávno upútala pozornosť americkej vlády pre masívne lúpeže kryptomien.

Teraz výskumníci z NCCGroup spojili niekoľko nástrojov a techník, ktoré hackeri Lazarus nedávno používali, vrátane sociálneho inžinierstva na LinkedIn, odosielania správ o cieľoch amerických dodávateľov obrany na WhatsApp a inštalácie škodlivého softvéru downloader LCPDot.

Zistenia NCCGroup vychádzajú z toho, čo je už známe o hackeroch Lazarus. O skupine a jej podskupinách je známe, že používali LinkedIn na oklamanie cieľov, aby nainštalovali škodlivé súbory, ako sú dokumenty programu Word so skrytými makrami.

POZRITE SI: Google: Viaceré hackerské skupiny využívajú vojnu na Ukrajine ako návnadu na pokusy o phishing

Vo februári, zistili výskumníci z Qualys skupina, ktorá sa vydáva za dodávateľa obrany Lockheed Martin, pričom svoje meno používa ako návnadu na pracovné príležitosti v čipkovaných dokumentoch Wordu. Dokumenty obsahovali škodlivé makrá na inštaláciu škodlivého softvéru a spoliehali sa na to, že naplánované úlohy zostanú v systéme.

Lazarus historicky používal LinkedIn ako preferovanú sociálnu sieť na kontaktovanie profesionálov s pracovnými ponukami. V roku 2020 zistili výskumníci z F-Secure skupina, ktorá sa pokúša naverbovať správcu systému pomocou phishingového dokumentu zaslaného na účet LinkedIn cieľa, ktorý sa týka blockchainovej spoločnosti, ktorá hľadá nového správcu systému.

V apríli sa ministerstvo financií USA prepojilo Lazara na lúpež vo výške 600 miliónov dolárov v marci z blockchainovej siete stojacej za hrou Axie Finity, ktorá je určená na zarábanie.

V ten istý mesiac FBI, Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry a ministerstvo financií varoval, že Lazarus sa v súčasnosti zameriava na burzy v blockchainovom a kryptomenovom priemysle, pomocou spear-phishingových kampaní a malvéru na krádež kryptomien.

NCCGroup zistila, že nedávne používanie falošných profilov Lockheed Martin na zdieľanie pracovných inzerátov s cieľmi sa spoliehalo na dokumenty hosťované na doméne, ktorá sa pokúšala napodobniť doménu náborovej stránky pre vládu a obranu so sídlom v USA voľných pracovných miest.

S cieľom obísť nedávne snahy spoločnosti Microsoft obmedziť používanie makier v dokumentoch balíka Office hostila webová lokalita a ZIP súbor obsahujúci škodlivý dokument, ktorý bol použitý na spojenie s Lazarovým príkazovým a riadiacim serverom.

"S cieľom podkopať bezpečnostné kontroly v nedávnych zmenách, ktoré vykonal Microsoft pre makrá balíka Office, webová lokalita hostila súbor ZIP, ktorý obsahoval škodlivý dokument," poznamenala NCCGroup.

Microsoft v apríli zaviedlo nové predvolené správanie balíka Office ktorý blokuje makrá VBA získané z internetu v dokumentoch na zariadeniach so systémom Windows. Jeden bezpečnostný expert to nazval „meničom hier“ kvôli rozšíreniu makromalvéru.

POZRITE SI: Botnet Emotet je späť a má niekoľko nových trikov na šírenie škodlivého softvéru

NCCGroup tiež získala vzorku Lazarovho variantu LCPDot, sťahovača nedávno analyzovaný japonským CERT, ktorý to pripísal Lazarovi.

Po zaregistrovaní kompromitovaného hostiteľa na príkazovom a riadiacom serveri prijímateľ dostane ďalšie užitočné zaťaženie, dešifruje ho a potom ho načíta do pamäte.

NCCGroup uvádza niekoľko domén, ktoré by naznačovali, že organizácia bola napadnutá hackermi.

Google v marci podrobne opísala rozsiahlu kampaň skupín spojených s Lazarom zacielenie na stovky ľudí v mediálnom a technologickom sektore s pracovnými ponukami v e-mailoch, ktoré sa vydávajú za náborových pracovníkov od Disney, Google a Oracle. Spoločnosť zaoberajúca sa analýzou blockchainu Chainalysis odhaduje sa, že severokórejskí hackeri ukradli v roku 2021 kryptomenu v hodnote 400 miliónov dolárov.