De beruchte aan Noord-Korea gelieerde dreigingsacteur, bekend als de Lazarus-groep is toegeschreven aan een nieuwe wereldwijde campagne waarbij opportunistische misbruik wordt gemaakt van beveiligingsfouten in Log4j om voorheen ongedocumenteerde trojans voor externe toegang (RAT’s) in te zetten op gecompromitteerde hosts.
Cisco Talos volgt de activiteit onder de naam Operation Blacksmith en merkt het gebruik op van drie op DLang gebaseerde malwarefamilies, waaronder een RAT genaamd NineRAT die Telegram gebruikt voor command-and-control (C2), DLRAT en een downloader genaamd BottomLoader.
Het cyberbeveiligingsbedrijf beschreef de nieuwste tactieken van de tegenstander als een definitieve verschuiving en dat deze overlappen met het cluster dat algemeen wordt gevolgd als Andariel (ook bekend als Onyx Sleet of Silent Chollima), een subgroep binnen de Lazarus-paraplu.
“Andariel is doorgaans belast met initiële toegang, verkenning en het tot stand brengen van toegang op lange termijn voor spionage ter ondersteuning van de nationale belangen van de Noord-Koreaanse regering”, zeiden Talos-onderzoekers Jung soo An, Asheer Malhotra en Vitor Ventura in een technisch rapport gedeeld met The Hacker News. .
Aanvalsketens omvatten de exploitatie van CVE-2021-44228 (ook bekend als Log4Shell) tegen openbaar toegankelijke VMWare Horizon-servers om NineRAT te leveren. Enkele van de prominente sectoren waarop zij zich richten, zijn onder meer de productie, de landbouw en de fysieke veiligheid.
Het misbruik van Log4Shell is niet verrassend gezien het feit dat 2,8 procent van de applicaties na twee jaar publieke bekendmaking nog steeds kwetsbare versies van de bibliotheek gebruikt (van 2.0-beta9 tot en met 2.15.0), volgens Veracode, terwijl nog eens 3,8% Log4j gebruikt. 2.17.0, dat weliswaar niet kwetsbaar is voor CVE-2021-44228, maar wel vatbaar is voor CVE-2021-44832.
NineRAT, voor het eerst ontwikkeld rond mei 2022, zou al in maart 2023 zijn gebruikt bij een aanval gericht op een Zuid-Amerikaanse landbouworganisatie, en vervolgens in september 2023 opnieuw op een Europese productie-eenheid. Door een legitieme berichtenservice zoals Telegram voor C2-communicatie te gebruiken, is het doel detectie te omzeilen.
De malware fungeert als het belangrijkste interactiemiddel met het geïnfecteerde eindpunt, waardoor de aanvallers opdrachten kunnen verzenden om systeeminformatie te verzamelen, interessante bestanden te uploaden, extra bestanden te downloaden en zelfs zichzelf te verwijderen en te upgraden.
“Zodra NineRAT is geactiveerd, accepteert het voorlopige commando’s van het op telegram gebaseerde C2-kanaal, om opnieuw vingerafdrukken te maken van de geïnfecteerde systemen”, merkten de onderzoekers op.
“Het opnieuw afdrukken van vingerafdrukken op geïnfecteerde systemen geeft aan dat de gegevens die door Lazarus via NineRAT zijn verzameld, kunnen worden gedeeld door andere APT-groepen en zich in wezen in een andere opslagplaats bevinden dan de vingerafdrukgegevens die aanvankelijk door Lazarus zijn verzameld tijdens hun initiële toegangs- en implantatie-implementatiefase.”
Ook gebruikt bij de aanvallen na de eerste verkenning is een aangepaste proxytool genaamd HazyLoad die eerder door Microsoft werd geïdentificeerd als gebruikt door de bedreigingsacteur als onderdeel van inbraken die kritieke beveiligingsfouten in JetBrains TeamCity bewapenen (CVE-2023-42793, CVSS-score: 9,8) . HazyLoad wordt gedownload en uitgevoerd door middel van een andere malware genaamd BottomLoader.
Bovendien is waargenomen dat Operation Blacksmith DLRAT levert, een downloader en een RAT die is uitgerust om systeemverkenningen uit te voeren, aanvullende malware te implementeren en opdrachten van de C2 op te halen en deze uit te voeren op de aangetaste systemen.
“De meerdere tools die overlappende achterdeurtoegang bieden, zorgen ervoor dat Lazarus Group redundantie krijgt als er een tool wordt ontdekt, waardoor zeer persistente toegang mogelijk wordt”, aldus de onderzoekers.
De exploitatie van Log4Shell door Andariel is niet nieuw, want de hackploeg heeft de kwetsbaarheid in het verleden gebruikt als een initiële toegangsvector om een trojan voor externe toegang af te leveren die EarlyRat wordt genoemd.
De onthulling komt op het moment dat het AhnLab Security Emergency Response Center (ASEC) Kimsuky’s gebruik van AutoIt-versies van malware zoals Amadey en RftRAT gedetailleerd beschrijft en deze verspreidt via spear-phishing-aanvallen met booby-trapped bijlagen en links in een poging beveiligingsproducten te omzeilen.
Kimusky, ook bekend onder de namen APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (voorheen Thallium), Nickel Kimball en Velvet Chollima, is een element dat opereert onder het Noord-Koreaanse Reconnaissance General Bureau (RGB), waar ook de Lazarus Group is gehuisvest.
Het werd op 30 november 2023 door het Amerikaanse ministerie van Financiën goedgekeurd vanwege het verzamelen van inlichtingen ter ondersteuning van de strategische doelstellingen van het regime.
“Nadat de Kimsuky-groep de controle over het geïnfecteerde systeem heeft overgenomen om informatie te exfiltreren, installeert ze verschillende malware, zoals keyloggers en tools voor het extraheren van accounts en cookies uit webbrowsers”, zei ASEC in een analyse die vorige week werd gepubliceerd.
