Lazarus Group heeft nucleaire ingenieurs gespot met CookiePlus-malware

Er is waargenomen dat de Lazarus Group, een beruchte dreigingsspeler die banden heeft met de Democratische Volksrepubliek Korea (DPRK), binnen een maand tijd gebruik maakte van een “complexe infectieketen” die zich richtte op ten minste twee werknemers van een niet nader genoemde nucleaire organisatie. Januari 2024.

De aanvallen, die culmineerden in de inzet van een nieuwe modulaire achterdeur, genaamd CookiePlusmaken deel uit van een langlopende cyberspionagecampagne die bekend staat als Operation Dream Job, die ook wordt gevolgd als NukeSped door cyberbeveiligingsbedrijf Kaspersky. Het is bekend dat het actief is sinds ten minste 2020, toen het door ClearSky werd onthuld.

Deze activiteiten omvatten vaak het targeten van ontwikkelaars en werknemers in verschillende bedrijven, waaronder defensie, ruimtevaart, cryptocurrency en andere mondiale sectoren, met lucratieve vacatures die uiteindelijk leiden tot de inzet van malware op hun machines.

“Lazarus is geïnteresseerd in het uitvoeren van supply chain-aanvallen als onderdeel van de DeathNote-campagne, maar dit is meestal beperkt tot twee methoden: de eerste is door het verzenden van een kwaadaardig document of een getrojaniseerde PDF-viewer die de op maat gemaakte functiebeschrijvingen voor het doelwit weergeeft”, aldus de woordvoerder. zei het Russische bedrijf in een uitgebreide analyse.

“De tweede is door het distribueren van getrojaniseerde tools voor externe toegang, zoals VNC of PuTTY, om de doelwitten ervan te overtuigen verbinding te maken met een specifieke server voor een beoordeling van hun vaardigheden.”

De laatste reeks aanvallen die Kaspersky heeft gedocumenteerd, omvat de tweede methode, waarbij de tegenstander gebruik maakt van een volledig vernieuwde infectieketen die een getrojaniseerd VNC-hulpprogramma levert onder het voorwendsel van het uitvoeren van een vaardigheidsbeoordeling voor IT-posities bij vooraanstaande lucht- en ruimtevaart- en defensiebedrijven.

Het is vermeldenswaard dat het gebruik van frauduleuze versies van VNC-apps door de Lazarus Group om kerningenieurs aan te vallen eerder door het bedrijf in oktober 2023 werd benadrukt in zijn APT-trendrapport voor het derde kwartaal van 2023.

“Lazarus leverde het eerste archiefbestand aan ten minste twee mensen binnen dezelfde organisatie (we noemen ze Host A en Host B)”, aldus onderzoekers Vasily Berdnikov en Sojun Ryu. “Na een maand probeerden ze intensievere aanvallen uit te voeren op het eerste doelwit.”

Er wordt aangenomen dat de VNC-apps, een getrojaniseerde versie van TightVNC genaamd “AmazonVNC.exe”, zijn gedistribueerd in de vorm van zowel ISO-images als ZIP-bestanden. In andere gevallen werd een legitieme versie van UltraVNC gebruikt om een ​​kwaadaardige DLL te sideloaden die in het ZIP-archief was verpakt.

De DLL (“vnclang.dll”) dient als lader voor een achterdeur genaamd MISTPEN, die in september 2024 werd ontdekt door Mandiant, eigendom van Google. Het volgt het activiteitencluster onder de naam UNC2970. MISTPEN van zijn kant blijkt twee extra ladingen te leveren met de codenaam RollMid en een nieuwe variant van LPEClient.

Kaspersky zei ook te hebben waargenomen dat de CookieTime-malware werd ingezet op Host A, hoewel de exacte methode die werd gebruikt om dit mogelijk te maken onbekend blijft. CookieTime werd voor het eerst ontdekt door het bedrijf in september en november 2020 en is zo genoemd vanwege het gebruik van gecodeerde cookiewaarden in HTTP-verzoeken om instructies op te halen van een command-and-control (C2)-server.

CookiePlus-malware

Uit verder onderzoek van de aanvalsketen is gebleken dat de bedreigingsacteur zich lateraal van Host A naar een andere machine (Host C) bewoog, waar CookieTime opnieuw werd gebruikt om tussen februari en juni 2024 verschillende payloads te droppen, zoals:

  • LPEClient, een malware die is uitgerust met mogelijkheden om gecompromitteerde hosts te profileren
  • ServiceChanger, een malware die een gerichte legitieme service stopt om een ​​frauduleuze DLL die erin is ingebed te sideloaden met behulp van het uitvoerbare bestand via side-loading van DLL
  • Charamel Loader, een loader-malware die interne bronnen zoals CookieTime, CookiePlus en ForestTiger decodeert en laadt
  • CookiePlus, een nieuw, op plug-ins gebaseerd kwaadaardig programma dat wordt geladen door zowel ServiceChanger als Charamel Loader

“Het verschil tussen elke CookiePlus die door Charamel Loader wordt geladen en door ServiceChanger is de manier waarop deze wordt uitgevoerd. De eerste draait alleen als een DLL en bevat de C2-informatie in de bronnensectie”, benadrukten de onderzoekers.

“Deze laatste haalt op wat is opgeslagen in een apart extern bestand zoals msado.inc, wat betekent dat CookiePlus de mogelijkheid heeft om een ​​C2-lijst op te halen van zowel een interne bron als een extern bestand. Voor het overige is het gedrag hetzelfde.”

CookiePlus dankt zijn naam aan het feit dat het vermomd was als een open-source Notepad++-plug-in genaamd ComparePlus toen het voor de eerste keer in het wild werd gedetecteerd. Bij de aanvallen gericht op de nucleair-gerelateerde entiteit bleek deze gebaseerd te zijn op een ander project genaamd DirectX-Wrappers.

De malware dient als downloader om een ​​Base64-gecodeerde, RSA-gecodeerde payload op te halen van de C2-server, die vervolgens wordt gedecodeerd en ontcijferd om drie verschillende shellcodes of een DLL uit te voeren. De shellcodes zijn uitgerust met functies om systeeminformatie te verzamelen en de hoofdmodule van CookiePlus een bepaald aantal minuten te laten slapen.

Er wordt vermoed dat CookiePlus een opvolger is van MISTPEN vanwege gedragsoverlappingen tussen de twee malwarefamilies, inclusief het aspect dat beide zichzelf hebben vermomd als Notepad++-plug-ins.

“Gedurende zijn geschiedenis heeft de Lazarus-groep slechts een klein aantal modulaire malwareframeworks gebruikt, zoals Mata en Gopuram Loader”, aldus Kaspersky. “Het feit dat ze nieuwe modulaire malware introduceren, zoals CookiePlus, suggereert dat de groep voortdurend werkt aan het verbeteren van hun arsenaal en infectieketens om detectie door beveiligingsproducten te omzeilen.”

De bevindingen komen op het moment dat blockchain-inlichtingenbureau Chainalysis onthulde dat aan Noord-Korea gelieerde dreigingsactoren in 2024 1,34 miljard dollar hebben gestolen via 47 cryptocurrency-hacks, tegen 660,50 miljoen dollar in 2023. Dit omvatte de inbreuk in mei 2024 op de Japanse cryptocurrency-uitwisseling DMM Bitcoin, die daaronder leed. een verlies van $ 305 miljoen op dat moment.

“Helaas lijkt het erop dat de crypto-aanvallen in de DVK steeds vaker voorkomen”, aldus het bedrijf. “Opmerkelijk is dat aanvallen tussen de 50 en 100 miljoen dollar, en die boven de 100 miljoen dollar, in 2024 veel vaker voorkwamen dan in 2023, wat erop wijst dat de DVK steeds beter en sneller wordt in grootschalige exploits.”

Thijs Van der Does