Lazarus hackersgroep ontwikkelt tactiek, hulpmiddelen en doelwitten in DeathNote-campagne

De Noord-Koreaanse dreiger die bekend staat als de Lazarus Group heeft zijn focus verlegd en zijn tools en tactieken snel ontwikkeld als onderdeel van een langlopende activiteit genaamd DeathNote.

Hoewel de tegenstander van de natiestaat bekend staat om zijn aanhoudende aanvallen op de cryptocurrency sector, heeft hij zich ook gericht op de auto-, academische en defensiesector in Oost-Europa en andere delen van de wereld, in wat wordt gezien als een “significante” ommezwaai.

“Op dit punt schakelde de acteur alle lokdocumenten om naar functiebeschrijvingen die verband houden met defensieaannemers en diplomatieke diensten,” zei Kaspersky-onderzoeker Seongsu Park in een woensdag gepubliceerde analyse.

De afwijking in targeting, samen met het gebruik van bijgewerkte infectievectoren, zou hebben plaatsgevonden in april 2020. De DeathNote cluster wordt ook gevolgd onder de namen Operation Dream Job of NukeSped. Mandiant, eigendom van Google, heeft ook een deel van de activiteit gekoppeld aan een groep die UNC2970 wordt genoemd.

De phishing-aanvallen gericht tegen cryptobedrijven bestaan meestal uit het gebruik van lokmiddelen met een bitcoinmijnthema in e-mailberichten om potentiële doelwitten te verleiden tot het openen van documenten met een macro, zodat de achterdeur van Manuscrypt (alias NukeSped) op de gecompromitteerde machine wordt geplaatst.

De gerichtheid op de automobielsector en de academische sector houdt verband met de bredere aanvallen van de Lazarus Group op de defensie-industrie, zoals gedocumenteerd door het Russische cyberbeveiligingsbedrijf in oktober 2021, wat leidde tot de inzet van BLINDINGCAN (ook bekend als AIRDRY of ZetaNile) en COPPERHEDGE-implantaten.

In een alternatieve aanvalsketen gebruikte de dader een trojaanse versie van een legitieme PDF-leestoepassing genaamd SumatraPDF Reader om zijn kwaadaardige routine te starten. Het gebruik door de Lazarus Group van malafide PDF-reader-apps werd eerder door Microsoft onthuld.

De doelwitten van deze aanvallen waren onder meer een verkoper van IT-activabewakingsoplossingen in Letland en een denktank in Zuid-Korea. In het laatste geval werd legitieme beveiligingssoftware die in dat land veel wordt gebruikt, misbruikt om de payloads uit te voeren.

De twee aanvallen “wijzen erop dat Lazarus een aanvalsketen opbouwt”, merkte Kaspersky destijds op. De tegenstanders hebben sindsdien de schuld gekregen voor de supply chain aanval gericht op enterprise VoIP service provider 3CX die vorige maand aan het licht kwam.

Kaspersky zei dat het in maart 2022 een andere aanval ontdekte die gericht was op verschillende slachtoffers in Zuid-Korea door gebruik te maken van dezelfde beveiligingssoftware om downloader-malware te leveren die een backdoor kon leveren, evenals een informatiediefstalmachine voor het oogsten van toetsaanslagen en klembordgegevens.

“De nieuw geïmplanteerde backdoor is in staat om een opgehaalde payload uit te voeren met named-pipe communicatie,” zei Park, eraan toevoegend dat het ook “verantwoordelijk is voor het verzamelen en rapporteren van informatie van het slachtoffer.”

Rond dezelfde tijd zou dezelfde backdoor zijn gebruikt om een defensiebedrijf in Latijns-Amerika binnen te dringen via DLL side-loading technieken bij het openen van een speciaal ontworpen PDF-bestand met behulp van een Trojaanse PDF-lezer.

De Lazarus Groep is ook in verband gebracht met een succesvolle inbraak bij een ander defensiebedrijf in Afrika afgelopen juli, waarbij een “verdachte PDF-toepassing” via Skype werd verstuurd om uiteindelijk een variant van een backdoor met de naam ThreatNeedle en een ander implantaat met de naam ForestTiger te droppen om gegevens te exfiltreren.

“De Lazarus-groep is een beruchte en zeer vaardige dreigingsactor,” zei Park. “Aangezien de Lazarus-groep zijn aanpak blijft verfijnen, is het cruciaal voor organisaties om waakzaam te blijven en proactieve maatregelen te nemen om zich te verdedigen tegen zijn kwaadaardige activiteiten.”