• Skupina Lazarus zaútočila na zamestnanca vesmírnej spoločnosti v Holandsku a politického novinára v Belgicku.
  • V rámci kampane útočníci zneužili falošné dokumenty od Amazonu s cieľom získania citlivých dát. 
  • Jeden z nástrojov využitých v kampani predstavuje prvé zaznamenané zneužitie zraniteľnosti CVE-2021-21551. Táto zraniteľnosť postihuje Dell DBUtil drivery. Dell vydal bezpečnostnú aktualizáciu v máji 2021.
  • Tento nástroj v kombinácii so zraniteľnosťou odstavuje všetky bezpečnostné riešenia na skompromitovaných zariadeniach. Existencia takéhoto nástroja je výstrahou pre vývojárov bezpečnostných produktov, aby pracovali na zlepšení sebaobrany ich softvérov.
  • Komplexnosť útokov naznačuje, že skupina Lazarus pozostáva z veľkého tímu, ktorý je systematicky organizovaný a výborne pripravený.

Výskumníci spoločnosti ESET objavili a analyzovali súbor škodlivých nástrojov, ktoré použila neslávne známa hackerská skupina Lazarus počas útokov na konci roka 2021. Kybernetická kampaň sa začala rozosielaním spear-phishingových e-mailov, ktoré obsahovali škodlivé dokumenty s tematikou spoločnosti Amazon. Cielili napríklad na zamestnanca vesmírnej spoločnosti v Holandsku a politického novinára v Belgicku. Hlavným cieľom útočníkov bolo získanie citlivých dát.

Obe obete dostali do schránky pracovnú ponuku. Zamestnanca v Holandsku kontaktovali na sociálnej sieti LinkedIn, belgického novinára zas prostredníctvom e-mailu. Útok sa spustil po tom, ako otvorili škodlivý dokument v prílohe. Hackeri nasadili  do systému niekoľko škodlivých nástrojov vrátane dropperov, loaderov, plne vybavených HTTP(S) backdoorov a HTTP(S) uploaderov.

Najpozoruhodnejším nástrojom bol modul používateľského módu, ktorý využitím zraniteľnosti CVE-2021-21551 v legitímnom Dell ovládači získal možnosť čítať aj zapisovať priamo do pamäte, v ktorej sa nachádza jadro operačného systému. Táto zraniteľnosť postihuje Dell DBUtil drivery. Spoločnosť Dell vydala bezpečnostnú aktualizáciu v máji 2021. Ide pritom o prvé zaznamenané zneužitie tejto zraniteľnosti v reálnom prostredí.

„Útočníci následne zneužili prístup do operačnej pamäte na odstavenie siedmych mechanizmov, ktorými operačný systém Windows monitoruje činnosť, napríklad registra, súborového systému, vytvárania procesov, sledovania udalostí a tak ďalej. Útočníci v podstate znefunkčnili bezpečnostné riešenia mimoriadne robustným spôsobom,“ vysvetľuje Peter Kálnai, výskumník spoločnosti ESET, ktorý odhalil kybernetickú kampaň. „Nespravili to pritom iba v prostredí jadra, ale rozsiahlejšie za použitia viacerých málo známych alebo nezdokumentovaných vnútorných procesov Windows. Nepochybne si to vyžadovalo hĺbkový výskum a vynikajúce vývojárske a testovacie schopnosti.“

Lazarus tiež použil plne vybavený HTTP(S) backdoor, známy ako BLINDINGCAN. ESET sa nazdáva, že tento trojan pre vzdialený prístup (RAT) má na strane servera komplexný ovládač s jednoduchým rozhraním, cez ktoré dokáže útočník ovládať a prehľadávať skompromitované systémy.

V Holandsku zasiahol útok počítač s operačným systémom Windows 10 pripojený do firemnej siete. Kyberzločinci kontaktovali zamestnanca prostredníctvom správy na LinkedIne, ktorá obsahovala informácie o možnej pracovnej ponuke. Následne mu zaslali e-mail s prílohou Word dokumentu s názvom Amazon_Netherlands.docx, ktorý obsahoval logo spoločnosti Amazon. Výskumníkom spoločnosti ESET sa nepodarilo získať vzdialený obsah dokumentu, no predpokladajú, že mohlo ísť o pracovnú ponuku pre vesmírny program spoločnosti Amazon Project Kuiper. Ide o metódu, ktorú Lazarus využil počas operácií In(ter)ception a DreamJob, ktoré cielili na vesmírny a obranný priemysel.

Vzhľadom na počet príkazových kódov, ktoré majú útočníci k dispozícii, je pravdepodobné, že ovládač na strane servera je nastavený tak, aby mohli ovládať a prehliadať skompromitované systémy. Viac ako dvadsiatka dostupných príkazov zahŕňa sťahovanie, nahrávanie, prepisovanie a mazanie súborov či vyhotovovanie snímok obrazovky.

„Na tomto útoku, tak ako aj mnohých ďalších útokoch pripísaných skupine Lazarus, sme videli, že veľké množstvo nástrojov bolo nasadených na jediné koncové zariadenie v sieti, ktorá ju zaujímala. Bez pochýb je za útokom pomerne veľký tím, ktorý je systematicky organizovaný a vynikajúco pripravený,“ vysvetľuje Kálnai.

Výskumníci spoločnosti ESET pripisujú tieto útoky skupine Lazarus s vysokou mierou istoty. Rozmanitosť, počet a výstrednosť implementácií kampaní Lazarus definujú túto skupinu, ktorá tiež vykonáva aktivity súvisiace so všetkými troma piliermi kybernetického zločinu: kybernetickú špionáž, kybernetickú sabotáž a finančné obohatenie sa.

Skupina Lazarus, známa tiež ako HIDDEN COBRA, je aktívna najmenej od roku 2009 a má na svedomí niekoľko veľkých útokov na vysokopostavené ciele.

Tento výskum je súčasťou prezentácie na tohtoročnej konferencii Virus Bulletin. Viac technických informácií o najnovšom útoku skupiny Lazarus nájdete v našom špeciálnom blogu na stránke WeLiveSecurity. Najnovšie odhalenia našich výskumníkov nájdete na Twitteri ESET research.

Značky: