Er is waargenomen dat de aan Noord-Korea gelieerde Lazarus Group (ook bekend als Hidden Cobra of TEMP.Hermit) getrojaniseerde versies van Virtual Network Computing (VNC)-apps gebruikt als lokmiddel om de defensie-industrie en nucleaire ingenieurs aan te vallen als onderdeel van een langlopende campagne die bekend staat als Operatie Droombaan.
“De dreigingsactor misleidt werkzoekenden op sociale media om kwaadaardige apps te openen voor nep-sollicitatiegesprekken”, aldus Kaspersky in zijn APT-trendrapport voor het derde kwartaal van 2023.
“Om detectie door op gedrag gebaseerde beveiligingsoplossingen te voorkomen, werkt deze backdoor-applicatie discreet en wordt deze alleen geactiveerd wanneer de gebruiker een server selecteert in het vervolgkeuzemenu van de getrojaniseerde VNC-client.”
Eenmaal gelanceerd door het slachtoffer, is de nagemaakte app ontworpen om extra ladingen op te halen, waaronder een bekende Lazarus Group-malware genaamd LPEClient, die is uitgerust met mogelijkheden om gecompromitteerde hosts te profileren.
Ook wordt door de tegenstander een bijgewerkte versie van COPPERHEDGE ingezet, een achterdeur die bekend staat om het uitvoeren van willekeurige opdrachten, het uitvoeren van systeemverkenningen en het exfiltreren van gegevens, evenals een op maat gemaakte malware die specifiek bedoeld is voor het verzenden van interessante bestanden naar een externe server.
Doelstellingen van de nieuwste campagne omvatten bedrijven die direct betrokken zijn bij de defensieproductie, waaronder radarsystemen, onbemande luchtvaartuigen (UAV’s), militaire voertuigen, schepen, wapens en maritieme bedrijven.
Operatie Dream Job verwijst naar een reeks aanvallen georkestreerd door de Noord-Koreaanse hackgroep waarbij potentiële doelwitten worden gecontacteerd via verdachte accounts van verschillende platforms zoals LinkedIn, Telegram en WhatsApp onder het voorwendsel lucratieve vacatures aan te bieden om hen te misleiden om malware te installeren.
Eind vorige maand onthulde ESET details van een Lazarus Group-aanval gericht op een niet bij naam genoemd lucht- en ruimtevaartbedrijf in Spanje, waarbij werknemers van het bedrijf werden benaderd door de bedreigingsacteur die zich voordeed als recruiter voor Meta op LinkedIn om een implantaat met de naam LightlessCan te leveren.
Lazarus Group is slechts een van de vele offensieve programma’s afkomstig uit Noord-Korea die in verband zijn gebracht met cyberspionage en financieel gemotiveerde diefstallen.
Een andere prominente hackploeg is APT37 (ook bekend als ScarCruft), dat deel uitmaakt van het Ministerie van Staatsveiligheid, in tegenstelling tot andere clusters van dreigingsactiviteiten – dat wil zeggen APT43 (ook bekend als Kimsuky) en Lazarus Group (en zijn subgroepen Andariel en BlueNoroff) – die dat wel zijn. aangesloten bij het Reconnaissance General Bureau (RGB).
“Terwijl verschillende dreigingsgroepen tools en code delen, blijft de Noord-Koreaanse dreigingsactiviteit zich aanpassen en veranderen om op maat gemaakte malware te bouwen voor verschillende platforms, waaronder Linux en macOS”, maakte Mandiant, eigendom van Google, eerder deze maand bekend en benadrukte hun evolutie op het gebied van aanpassingsvermogen en complexiteit.
Volgens Kaspersky richtte ScarCruft zich op een handelsbedrijf dat gelinkt is aan Rusland en Noord-Korea met behulp van een nieuwe phishing-aanvalsketen die culmineerde in de levering van RokRAT-malware (ook bekend als BlueLight), wat de voortdurende pogingen van het heremietkoninkrijk om Rusland aan te vallen onderstreepte.
Bovendien is een andere opvallende verschuiving de overlap in infrastructuur, tooling en targeting tussen verschillende Noord-Koreaanse hackers als Andariel, APT38, Lazarus Group en APT43, waardoor de attributie-inspanningen worden vertroebeld en er sprake is van een stroomlijning van vijandige activiteiten.
Dit gaat ook gepaard met een “toegenomen interesse in de ontwikkeling van macOS-malware voor achterdeurplatforms van waardevolle doelwitten binnen de cryptocurrency- en blockchain-industrie”, aldus Mandiant.
