Ten minste zes organisaties in Zuid-Korea zijn het doelwit van de productieve Noord-Korea-gekoppelde Lazarus-groep als onderdeel van een campagne nagesynchroniseerd Operatie Synchole.
De activiteit was gericht op de software van Zuid -Korea, IT, Financial, Semiconductor Manufacturing en Telecommunications Industries, volgens een rapport van Kaspersky dat vandaag is gepubliceerd. Het vroegste bewijs van compromis werd voor het eerst gedetecteerd in november 2024.
De campagne omvatte een “geavanceerde combinatie van een strategie voor watergat en de uitbuiting van kwetsbaarheid binnen de Zuid -Koreaanse software”, zeiden beveiligingsonderzoekers Sojun Ryu en Vasily Berdnikov. “Een eendaagse kwetsbaarheid in Innorix Agent werd ook gebruikt voor laterale beweging.”
De aanvallen zijn waargenomen die de weg vrijmaken voor varianten van bekende Lazarus -tools zoals ThreatNeedle, Agamemnon, Wagent, SignBt en Copperhedge.
Wat deze indringers bijzonder effectief maakt, is de waarschijnlijke exploitatie van een beveiligingskwetsbaarheid in Cross EX, een legitieme software die in Zuid-Korea heerst om het gebruik van beveiligingssoftware op online bank- en overheidswebsites mogelijk te maken ter ondersteuning van anti-keylogging en certificaatgebaseerde digitale handtekeningen.
“De Lazarus-groep vertoont een sterk begrip van deze details en gebruikt een op Zuid-Korea gerichte strategie die kwetsbaarheden combineert in dergelijke software met drinkhandelsaanvallen,” zei de Russische cybersecurity-leverancier.
De uitbuiting van een beveiligingsfout in Innorix Agent voor laterale beweging is opmerkelijk vanwege het feit dat een vergelijkbare aanpak ook is overgenomen door de Andariel-subcluster van de Lazarus-groep in het verleden om malware zoals Volgmer en Andardoor te leveren.
Het uitgangspunt van de nieuwste golf van aanvallen is een dragerholaanval, die de implementatie van dreiging activeerde nadat doelen verschillende Zuid -Koreaanse online mediasites bezocht. Bezoekers die op de sites landen, worden gefilterd met behulp van een server-side script voordat ze worden omgeleid naar een tegenstander-gecontroleerd domein om de malware te bedienen.
“We beoordelen met medium vertrouwen dat de omgeleide site mogelijk een kwaadaardig script heeft uitgevoerd, gericht op een potentiële fout in Cross EX geïnstalleerd op de doel -pc en malware lanceert,” zeiden de onderzoekers. “Het script voerde vervolgens uiteindelijk de legitieme synchost.exe uit en injecteerde een shellcode die een variant van dreiging in dat proces laadde.”
De infectiesequentie is waargenomen bij het aannemen van twee fasen, met behulp van ThreatNeedle en Wagent in de vroege stadia en vervolgens aanmeldt en Copperhedge voor het vaststellen van persistentie, het uitvoeren van verkenning en het leveren van referentiedumpingtools op de gecompromitteerde gastheren.
Ook worden geïmplementeerd, zijn malwarefamilies zoals LPeclient voor slachtofferprofilering en payload levering, en een downloader van de downloader die Agamemnon noemde voor het downloaden en uitvoeren van extra payloads die zijn ontvangen van de Command-and-Control (C2) -server, terwijl tegelijkertijd de Hell’s Gate-techniek opneemt om beveiligingsoplossingen te omzeilen tijdens de uitvoering.
Een payload gedownload door Agamemnon is een tool die is ontworpen om laterale beweging uit te voeren door een beveiligingsfout te exploiteren in de instrumenten van de Innorix Agent File Transfer. Kaspersky zei dat zijn onderzoek een extra willekeurige bestandsdownload zero-day kwetsbaarheid in Innorix Agent heeft gedownload die sindsdien door de ontwikkelaars is gepatcht.
“De gespecialiseerde aanvallen van de Lazarus -groep gericht op toeleveringsketens in Zuid -Korea zullen naar verwachting in de toekomst doorgaan,” zei Kaspersky.
“De aanvallers leveren ook inspanningen om detectie te minimaliseren door nieuwe malware te ontwikkelen of bestaande malware te verbeteren. In het bijzonder introduceren ze verbeteringen aan de communicatie met de C2, de opdrachtstructuur en de manier waarop ze gegevens verzenden en ontvangen.”
