Печально известному связанному с Северной Кореей злоумышленнику, известному как Lazarus Group, приписывают участие в новой глобальной кампании, которая предполагает оппортунистическое использование недостатков безопасности Log4j для развертывания ранее недокументированных троянов удаленного доступа (RATs) на скомпрометированных хостах.
Cisco Talos отслеживает активность под названием Operation Blacksmith, отмечая использование трех семейств вредоносных программ на основе DLang, включая RAT под названием NineRAT, который использует Telegram для командования и контроля (C2), DLRAT и загрузчик, получивший название BottomLoader.
Компания по кибербезопасности описала последнюю тактику противника как окончательный сдвиг и что она совпадает с кластером, широко отслеживаемым как Andariel (он же Onyx Sleet или Silent Chollima), подгруппой под эгидой Lazarus.
"Обычно задачей Andariel является первоначальный доступ, разведка и установление долгосрочного доступа для шпионажа в поддержку национальных интересов правительства Северной Кореи", - заявили исследователи Talos Чон Су Ан, Ашир Малхотра и Витор Вентура в техническом отчете, опубликованном The Hacker News.
Цепочки атак включают использование CVE-2021-44228 (он же Log4Shell) против общедоступных серверов VMware Horizon для доставки NineRAT. Некоторые из известных целевых секторов включают производство, сельское хозяйство и физическую безопасность.
Злоупотребление Log4Shell неудивительно, учитывая тот факт, что 2,8 процента приложений по-прежнему используют уязвимые версии библиотеки (от 2.0-beta9 до 2.15.0) после двух лет публичного раскрытия, согласно Veracode, а еще 3,8% используют Log4j 2.17.0, который, хотя и не уязвим для CVE-2021-44228, восприимчив к CVE-2021-44832.
Сообщается, что NineRAT, впервые разработанный примерно в мае 2022 года, был использован еще в марте 2023 года при атаке, направленной на южноамериканскую сельскохозяйственную организацию, а затем снова в сентябре 2023 года на европейское производственное предприятие. Цель использования законной службы обмена сообщениями для связи C2 - избежать обнаружения.
Вредоносная программа действует как основное средство взаимодействия с зараженной конечной точкой, позволяя злоумышленникам отправлять команды для сбора системной информации, загружать интересующие файлы, загружать дополнительные файлы и даже удалять и обновлять саму себя.
"Как только NineRAT активирован, он принимает предварительные команды от канала C2 на базе telegram, чтобы снова отпечатать зараженные системы", - отметили исследователи.
"Повторная дактилоскопия зараженных систем указывает на то, что данные, собранные Lazarus через NineRAT, могут быть доступны другим APT-группам и, по сути, хранятся в хранилище, отличном от данных отпечатков пальцев, собранных изначально Lazarus на этапе первоначального доступа и внедрения имплантата".
Также в атаках после первоначальной разведки использовался пользовательский прокси-инструмент под названием HazyLoad, который ранее был идентифицирован Microsoft как используемый субъектом угрозы в рамках вторжений, использующих критические уязвимости безопасности в JetBrains TeamCity (CVE-2023-42793, оценка CVSS: 9,8). HazyLoad загружается и выполняется с помощью другой вредоносной программы под названием BottomLoader.
Кроме того, было замечено, что Operation Blacksmith поставляет DLRAT, который является одновременно загрузчиком и RAT, оснащенным для проведения разведки системы, развертывания дополнительного вредоносного ПО, а также получения команд от C2 и выполнения их в скомпрометированных системах.
"Множество инструментов, предоставляющих перекрывающийся доступ к бэкдору, предоставляют Lazarus Group избыточность в случае обнаружения инструмента, обеспечивая высокостоящий доступ", - сказали исследователи.
Раскрытие произошло после того, как Центр экстренного реагирования AhnLab Security (ASEC) подробно описал использование Kimsuky версий вредоносных программ AutoIt, таких как Amadey и RftRAT, и распространение их посредством фишинговых атак с заминированными вложениями и ссылками в попытке обойти продукты безопасности.
Кимуски, также известные под названиями APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (ранее Thallium), Nickel Kimball и Velvet Chollima, являются подразделением, действующим при Генеральном бюро разведки Северной Кореи (RGB), в котором также находится Lazarus Group.
30 ноября 2023 года Министерство финансов США санкционировало ее деятельность за сбор разведданных для поддержки стратегических целей режима.
"После получения контроля над зараженной системой для извлечения информации Kimsuky group устанавливает различные вредоносные программы, такие как кейлоггеры и инструменты для извлечения учетных записей и файлов cookie из веб-браузеров", - говорится в анализе ASEC, опубликованном на прошлой неделе.
Cisco Talos отслеживает активность под названием Operation Blacksmith, отмечая использование трех семейств вредоносных программ на основе DLang, включая RAT под названием NineRAT, который использует Telegram для командования и контроля (C2), DLRAT и загрузчик, получивший название BottomLoader.
Компания по кибербезопасности описала последнюю тактику противника как окончательный сдвиг и что она совпадает с кластером, широко отслеживаемым как Andariel (он же Onyx Sleet или Silent Chollima), подгруппой под эгидой Lazarus.
"Обычно задачей Andariel является первоначальный доступ, разведка и установление долгосрочного доступа для шпионажа в поддержку национальных интересов правительства Северной Кореи", - заявили исследователи Talos Чон Су Ан, Ашир Малхотра и Витор Вентура в техническом отчете, опубликованном The Hacker News.
Цепочки атак включают использование CVE-2021-44228 (он же Log4Shell) против общедоступных серверов VMware Horizon для доставки NineRAT. Некоторые из известных целевых секторов включают производство, сельское хозяйство и физическую безопасность.
Злоупотребление Log4Shell неудивительно, учитывая тот факт, что 2,8 процента приложений по-прежнему используют уязвимые версии библиотеки (от 2.0-beta9 до 2.15.0) после двух лет публичного раскрытия, согласно Veracode, а еще 3,8% используют Log4j 2.17.0, который, хотя и не уязвим для CVE-2021-44228, восприимчив к CVE-2021-44832.
Сообщается, что NineRAT, впервые разработанный примерно в мае 2022 года, был использован еще в марте 2023 года при атаке, направленной на южноамериканскую сельскохозяйственную организацию, а затем снова в сентябре 2023 года на европейское производственное предприятие. Цель использования законной службы обмена сообщениями для связи C2 - избежать обнаружения.
Вредоносная программа действует как основное средство взаимодействия с зараженной конечной точкой, позволяя злоумышленникам отправлять команды для сбора системной информации, загружать интересующие файлы, загружать дополнительные файлы и даже удалять и обновлять саму себя.
"Как только NineRAT активирован, он принимает предварительные команды от канала C2 на базе telegram, чтобы снова отпечатать зараженные системы", - отметили исследователи.
"Повторная дактилоскопия зараженных систем указывает на то, что данные, собранные Lazarus через NineRAT, могут быть доступны другим APT-группам и, по сути, хранятся в хранилище, отличном от данных отпечатков пальцев, собранных изначально Lazarus на этапе первоначального доступа и внедрения имплантата".
Также в атаках после первоначальной разведки использовался пользовательский прокси-инструмент под названием HazyLoad, который ранее был идентифицирован Microsoft как используемый субъектом угрозы в рамках вторжений, использующих критические уязвимости безопасности в JetBrains TeamCity (CVE-2023-42793, оценка CVSS: 9,8). HazyLoad загружается и выполняется с помощью другой вредоносной программы под названием BottomLoader.
Кроме того, было замечено, что Operation Blacksmith поставляет DLRAT, который является одновременно загрузчиком и RAT, оснащенным для проведения разведки системы, развертывания дополнительного вредоносного ПО, а также получения команд от C2 и выполнения их в скомпрометированных системах.
"Множество инструментов, предоставляющих перекрывающийся доступ к бэкдору, предоставляют Lazarus Group избыточность в случае обнаружения инструмента, обеспечивая высокостоящий доступ", - сказали исследователи.
Раскрытие произошло после того, как Центр экстренного реагирования AhnLab Security (ASEC) подробно описал использование Kimsuky версий вредоносных программ AutoIt, таких как Amadey и RftRAT, и распространение их посредством фишинговых атак с заминированными вложениями и ссылками в попытке обойти продукты безопасности.
Кимуски, также известные под названиями APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (ранее Thallium), Nickel Kimball и Velvet Chollima, являются подразделением, действующим при Генеральном бюро разведки Северной Кореи (RGB), в котором также находится Lazarus Group.
30 ноября 2023 года Министерство финансов США санкционировало ее деятельность за сбор разведданных для поддержки стратегических целей режима.
"После получения контроля над зараженной системой для извлечения информации Kimsuky group устанавливает различные вредоносные программы, такие как кейлоггеры и инструменты для извлечения учетных записей и файлов cookie из веб-браузеров", - говорится в анализе ASEC, опубликованном на прошлой неделе.
