ESET Research: Lazarus, gelinkt aan Noord-Korea, bootst Meta na op LinkedIn om Spaans lucht- en ruimtevaartbedrijf aan te vallen
ESET-onderzoekers ontdekten een Lazarus-aanval op een Spaanse lucht- en ruimtevaartbedrijf. De groep zette verschillende tools in, zoals de nieuw ontdekte backdoor die door ESET LightlessCan werd genoemd. De operatoren van de aan Noord-Korea gelinkte Lazarus-groep kregen vorig jaar een eerste toegang tot het netwerk van het bedrijf na een succesvolle spearphishing-campagne. Ze waren vermomd als recruiter voor Meta – het bedrijf achter Facebook, Instagram en WhatsApp. Hun uiteindelijke doel was cyberspionage.
“Het meest zorgwekkend aan de aanval is het nieuwe type payload, LightlessCan, een complexe en mogelijk evoluerende tool met een hoog niveau aan verfijning in zijn ontwerp en werking. Dit is een aanzienlijke vooruitgang in kwaadaardige mogelijkheden vergeleken met zijn voorganger, BlindingCan ”, zegt ESET-onderzoeker Peter Kálnai, die de ontdekking deed.
De nep-recruiter contacteerde het slachtoffer via LinkedIn Messaging, een functie binnen het LinkedIn platform, en stuurde twee coderingsuitdagingen die zogezegd nodig waren als onderdeel van een aanwervingsproces. Het slachtoffer moest die downloaden en uitvoeren op een bedrijfstoestel. ESET Research kon de initiële toegangsetappes reconstrueren en de toolset van Lazarus analyseren dankzij de samenwerking met het getroffen lucht- en ruimtevaartbedrijf. De groep doelde op meerdere werknemers van het bedrijf.
Lazarus leverde verschillende payloads aan de systemen van de slachtoffers; de meest opvallende is een nog niet gedocumenteerde en geavanceerde trojaan voor externe toegang (RAT), door ESET LightlessCan genoemd. De trojaan bootst de functionaliteiten na van een reeks native Windows-opdrachten, meestal misbruikt door de aanvallers, waardoor discrete uitvoering binnen de RAT zelf mogelijk wordt in plaats van luidruchtige console-uitvoeringen. Die strategische wijziging verdoezelt beter, zodat het detecteren en analyseren van de activiteiten van de aanvaller een grotere uitdaging wordt.
Een ander mechanisme om de blootstelling te minimaliseren is het gebruik van uitvoeringsvangrails: Lazarus zorgde dat de payload enkel op de machine van het beoogde slachtoffer kon ontsleuteld worden. Uitvoeringsvangrails zijn beschermende protocollen en mechanismen, geïmplementeerd om de integriteit en vertrouwelijkheid van de payload te beschermen tijdens zijn uitvoering, zodat decodering op andere machines, zoals die van security researchers, niet mogelijk is.
LightlessCan ondersteunt tot 68 verschillende commando’s, maar in zijn huidige versie, 1.0, zijn slechts 43 van die commando’s met enige functionaliteit geïmplementeerd. ESET Research identificeerde vier verschillende uitvoeringsketens, die drie soorten payloads leveren.
De Lazarus-groep (ook HIDDEN COBRA genaamd) is een cyberspionagegroep gelinkt aan Noord-Korea en minstens sinds 2009 actief. De diversiteit, het aantal en de excentriciteit bij het implementeren van Lazarus-campagnes definiëren deze groep, die de drie pijlers van cybercriminaliteit bespeelt: cyberspionage, cybersabotage en financieel gewin. Ruimtevaartbedrijven zijn geen ongewone doelwitten voor Noord-Koreaanse APT-groepen. Het land heeft meerdere geavanceerde rakettesten uitgevoerd in strijd met de resoluties van de Veiligheidsraad van de Verenigde Naties.
Meer technische informatie over Lazarus, de nieuwste aanval en de LightlessCan-achterdeur, zijn te vinden in de blog “Lazarus luring employees with trojanized coding challenges: The case of a Spanish aerospace company” op WeLiveSecurity. ESET Research zal de bevindingen over deze aanval presenteren op de Virus Bulletin-conferentie op 4 oktober 2023. Zorg dat u ESET Research op Twitter (tegenwoordig bekend als X) volgt voor het laatste nieuws van ESET Research.
Dit artikel is geschreven door een van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.
