IT-säkerhetsforskare på WithSecure kopplar en informationsinsamlingskampanj riktad mot medicinsk forskning och energiorganisationer till Nordkoreas Lazarus Group.
Delvis tack vare en angripares operativa säkerhetsmisstag har IT-säkerhetsforskare från WithSecure (tidigare känt som F-Secure Business) nu lyckats härleda en kampanj av cyberattacker till Nordkoreas ökända Lazarus Group.
Lazarus Group är en så kallad APT (Advanced Persistant Threat)-hotaktör som allmänt anses vara en del av Nordkoreas Foreign Intelligence and Reconnaissance Bureau. Forskare fick korn på gruppens senaste kampanj efter att en misstänkt ransomware-attack upptäcktes hos en organisation som skyddas av säkerhetsplattformen WithSecure Elements.
Vid närmare undersökningar av attacken fann WithSecure-forskare flera bevis som tydde på att attacken var en del av en större informationsinsamlingskampanj, snarare än en enskild ransomware-incident.
Baserat på de insamlade bevisen kunde forskarna koppla kampanjen till Lazarus Group, som i detta fall riktade sig mot medicinsk forskning och energiorganisationer i avsikt att spionera.
Specifika attackmål som identifierades av forskarna inkluderade en forskningsorganisation inom vården, en tillverkare av teknologi som används inom energi-, forskning-, försvars- och vårdssektorn, samt en avdelning för kemiteknik vid ett ledande universitet.
“Även om detta från början misstänktes vara ett försök till en BianLian-ransomwareattack, så pekade bevisen oss snabbt i en ny riktning. I takt med att vi samlade in mer och mer bevismaterial stärktes vår övertygelse om att attacken utfördes av en grupp med anknytning till den nordkoreanska regeringen, varpå vi så småningom säkert kunde dra slutsatsen att det var Lazarus Group som låg bakom,” säger Sami Ruohonen, Senior Threat Intelligence Analyst på WithSecure
“Under vår utredning fann vi att detta var en del av en större kampanj med ett utökat antal mål, inte bara en isolerad incident. Det är extremt ovanligt att så pass klart och tydligt kunna koppla en kampanj till en gärningsman som vi har kunnat göra här,” tillägger Stephen Robinson, Senior Threat Intelligence Analyst på WithSecure.
WithSecure-forskare kunde härleda kampanjen till Lazarus Group baserat på dess användning av taktik, teknik och procedurer i tidigare attacker av gruppen och andra angripare med Nordkorea-koppling.
Forskarna fann flera anmärkningsvärda utvecklingar i denna kampanj jämfört med tidigare Lazarus Group-aktiviteter, såsom:
- Användning av en ny infrastruktur, som bl a endast förlitar sig på IP-adresser utan domännamn (vilket är ett avsteg från tidigare attacker).
- En modifierad version av den skadliga programvaran Dtrack, vilken används för att stjäla information och som har använts av Lazarus Group och Kimsuky (en annan grupp med Nordkorea-koppling) i tidigare attacker.
- En ny version av den skadliga programvaran GREASE, som tillåter angripare att skapa nya administratörskonton med fjärrstyrningsbehörigheter som kringgår brandväggar.
Ett uppseendeväckande bevis som forskarna fann var att angriparna under kort tid använde en av mindre än tusen IP-adresser som tillhör Nordkorea. Denna IP-adress observerades under en kort tid vara ansluten till ett webbskal som kontrollerades av angriparna, vilket fick forskarna att misstänka att misstaget var manuellt och hade gjorts av gruppmedlem.
Men misstag som detta bör dock inte feltolkas av försvarare som ett skäl att sänka garden, enligt Tim West, Head of Threat Intelligence på WithSecure.
“Trots misslyckandet visade angriparen upp ett skickligt hantverk och lyckades ändå utföra genomtänkta attacker mot noggrant utvalda slutpunkter. Även med rätt tekniker för slutpunktsdetektering måste organisationer ständigt överväga hur de reagerar på varningar. De bör även integrera fokuserad hotintelligens med regelbunden jakt efter hotaktörer för att få ett mer djupgående skydd, särskilt mot skickliga och erfarna motståndare,” säger West.
