- Skupina Lazarus zaútočila na zamestnanca vesmírnej spoločnosti v Holandsku a politického novinára v Belgicku.
- V rámci kampane útočníci zneužili falošné dokumenty od Amazonu s cieľom získania citlivých dát.
- Jeden z nástrojov využitých v kampani predstavuje prvé zaznamenané zneužitie zraniteľnosti CVE-2021-21551. Táto zraniteľnosť postihuje Dell DBUtil drivery. Dell vydal bezpečnostnú aktualizáciu v máji 2021.
- Tento nástroj v kombinácii so zraniteľnosťou odstavuje všetky bezpečnostné riešenia na skompromitovaných zariadeniach. Existencia takéhoto nástroja je výstrahou pre vývojárov bezpečnostných produktov, aby pracovali na zlepšení sebaobrany ich softvérov.
- Komplexnosť útokov naznačuje, že skupina Lazarus pozostáva z veľkého tímu, ktorý je systematicky organizovaný a výborne pripravený.
Výskumníci spoločnosti ESET objavili a analyzovali súbor škodlivých nástrojov, ktoré použila neslávne známa hackerská skupina Lazarus počas útokov na konci roka 2021. Kybernetická kampaň sa začala rozosielaním spear-phishingových e-mailov, ktoré obsahovali škodlivé dokumenty s tematikou spoločnosti Amazon. Cielili napríklad na zamestnanca vesmírnej spoločnosti v Holandsku a politického novinára v Belgicku. Hlavným cieľom útočníkov bolo získanie citlivých dát.
Obe obete dostali do schránky pracovnú ponuku. Zamestnanca v Holandsku kontaktovali na sociálnej sieti LinkedIn, belgického novinára zas prostredníctvom e-mailu. Útok sa spustil po tom, ako otvorili škodlivý dokument v prílohe. Hackeri nasadili do systému niekoľko škodlivých nástrojov vrátane dropperov, loaderov, plne vybavených HTTP(S) backdoorov a HTTP(S) uploaderov.
Najpozoruhodnejším nástrojom bol modul používateľského módu, ktorý využitím zraniteľnosti CVE-2021-21551 v legitímnom Dell ovládači získal možnosť čítať aj zapisovať priamo do pamäte, v ktorej sa nachádza jadro operačného systému. Táto zraniteľnosť postihuje Dell DBUtil drivery. Spoločnosť Dell vydala bezpečnostnú aktualizáciu v máji 2021. Ide pritom o prvé zaznamenané zneužitie tejto zraniteľnosti v reálnom prostredí.
„Útočníci následne zneužili prístup do operačnej pamäte na odstavenie siedmych mechanizmov, ktorými operačný systém Windows monitoruje činnosť, napríklad registra, súborového systému, vytvárania procesov, sledovania udalostí a tak ďalej. Útočníci v podstate znefunkčnili bezpečnostné riešenia mimoriadne robustným spôsobom,“ vysvetľuje Peter Kálnai, výskumník spoločnosti ESET, ktorý odhalil kybernetickú kampaň. „Nespravili to pritom iba v prostredí jadra, ale rozsiahlejšie za použitia viacerých málo známych alebo nezdokumentovaných vnútorných procesov Windows. Nepochybne si to vyžadovalo hĺbkový výskum a vynikajúce vývojárske a testovacie schopnosti.“
Lazarus tiež použil plne vybavený HTTP(S) backdoor, známy ako BLINDINGCAN. ESET sa nazdáva, že tento trojan pre vzdialený prístup (RAT) má na strane servera komplexný ovládač s jednoduchým rozhraním, cez ktoré dokáže útočník ovládať a prehľadávať skompromitované systémy.
V Holandsku zasiahol útok počítač s operačným systémom Windows 10 pripojený do firemnej siete. Kyberzločinci kontaktovali zamestnanca prostredníctvom správy na LinkedIne, ktorá obsahovala informácie o možnej pracovnej ponuke. Následne mu zaslali e-mail s prílohou Word dokumentu s názvom Amazon_Netherlands.docx, ktorý obsahoval logo spoločnosti Amazon. Výskumníkom spoločnosti ESET sa nepodarilo získať vzdialený obsah dokumentu, no predpokladajú, že mohlo ísť o pracovnú ponuku pre vesmírny program spoločnosti Amazon Project Kuiper. Ide o metódu, ktorú Lazarus využil počas operácií In(ter)ception a DreamJob, ktoré cielili na vesmírny a obranný priemysel.
Vzhľadom na počet príkazových kódov, ktoré majú útočníci k dispozícii, je pravdepodobné, že ovládač na strane servera je nastavený tak, aby mohli ovládať a prehliadať skompromitované systémy. Viac ako dvadsiatka dostupných príkazov zahŕňa sťahovanie, nahrávanie, prepisovanie a mazanie súborov či vyhotovovanie snímok obrazovky.
„Na tomto útoku, tak ako aj mnohých ďalších útokoch pripísaných skupine Lazarus, sme videli, že veľké množstvo nástrojov bolo nasadených na jediné koncové zariadenie v sieti, ktorá ju zaujímala. Bez pochýb je za útokom pomerne veľký tím, ktorý je systematicky organizovaný a vynikajúco pripravený,“ vysvetľuje Kálnai.
Výskumníci spoločnosti ESET pripisujú tieto útoky skupine Lazarus s vysokou mierou istoty. Rozmanitosť, počet a výstrednosť implementácií kampaní Lazarus definujú túto skupinu, ktorá tiež vykonáva aktivity súvisiace so všetkými troma piliermi kybernetického zločinu: kybernetickú špionáž, kybernetickú sabotáž a finančné obohatenie sa.
Skupina Lazarus, známa tiež ako HIDDEN COBRA, je aktívna najmenej od roku 2009 a má na svedomí niekoľko veľkých útokov na vysokopostavené ciele.
Tento výskum je súčasťou prezentácie na tohtoročnej konferencii Virus Bulletin. Viac technických informácií o najnovšom útoku skupiny Lazarus nájdete v našom špeciálnom blogu na stránke WeLiveSecurity. Najnovšie odhalenia našich výskumníkov nájdete na Twitteri ESET research.