De door de Noord-Koreaanse staat gesponsorde dreigingsactoren worden toegeschreven aan een cyberspionagecampagne gericht op de defensiesector over de hele wereld.
In een gezamenlijk advies gepubliceerd door het Duitse Federale Bureau voor de Bescherming van de Grondwet (BfV) en de Nationale Inlichtingendienst van Zuid-Korea (NIS), zeiden de agentschappen dat het doel van de aanvallen is om geavanceerde defensietechnologieën op een “kosteneffectieve” manier te plunderen. .
“Het regime gebruikt de militaire technologieën om de prestaties van conventionele wapens te moderniseren en te verbeteren en om nieuwe strategische wapensystemen te ontwikkelen, waaronder ballistische raketten, verkenningssatellieten en onderzeeërs”, merkten ze op.
De beruchte Lazarus Group heeft de schuld gekregen van een van de twee hackincidenten, waarbij gebruik werd gemaakt van social engineering om de defensiesector te infiltreren als onderdeel van een al lang bestaande operatie genaamd Dream Job. De campagne loopt sinds augustus 2020 en bestaat uit verschillende golven.
Bij deze aanvallen creëren de bedreigingsactoren een nepprofiel of maken zij gebruik van legitieme, maar gecompromitteerde profielen op platforms als LinkedIn om potentiële doelwitten te benaderen en vertrouwen bij hen op te bouwen, alvorens lucratieve vacatures aan te bieden en het gesprek te verschuiven naar een andere berichtendienst zoals WhatsApp. om het wervingsproces te starten.
Slachtoffers krijgen vervolgens codeeropdrachten en werkaanbiedingsdocumenten toegestuurd die beladen zijn met malware die, wanneer ze worden gelanceerd, de infectieprocedure activeren om hun computers in gevaar te brengen.
“Over het algemeen speelt de omstandigheid dat werknemers doorgaans niet met hun collega’s of werkgever over vacatures praten, de aanvaller in de kaart”, aldus de agentschappen.
“De LAZARUS-groep heeft tijdens de campagne haar instrumenten gewijzigd en meer dan eens aangetoond dat zij in staat is alles te ontwikkelen wat nodig is om aan de situatie te voldoen.”
De tweede zaak betreft een inbraak in een defensieonderzoekscentrum tegen eind 2022 door het uitvoeren van een software supply chain-aanval op een niet bij naam genoemd bedrijf dat verantwoordelijk is voor het onderhoud van een van de webservers van het onderzoekscentrum.
“De cyberactor infiltreerde de onderzoeksfaciliteit verder door op afstand bestuurbare malware in te zetten via een patchmanagementsysteem (PMS) van het onderzoekscentrum, en stal verschillende accountinformatie van zakelijke portals en e-mailinhoud”, aldus de BfV en NIS.
De inbreuk, die werd uitgevoerd door een andere in Noord-Korea gevestigde dreigingsactoren, verliep in vijf fasen:
- Hack het webserveronderhoudsbedrijf, steel SSH-inloggegevens en krijg externe toegang tot de server van het onderzoekscentrum
- Download aanvullende kwaadaardige tools met behulp van curl-opdrachten, waaronder tunnelsoftware en een op Python gebaseerde downloader
- Voer zijwaartse bewegingen uit en plunder de inloggegevens van werknemersaccounts
- Maak gebruik van de accountinformatie van de gestolen beveiligingsmanager om zonder succes een trojan-update te distribueren die wordt geleverd met mogelijkheden om bestanden te uploaden en downloaden, code uit te voeren en systeeminformatie te verzamelen
- Volharden in de doelomgeving door een kwetsbaarheid bij het uploaden van bestanden op de website te bewapenen door een webshell in te zetten voor externe toegang en spear-phishing-e-mails te verzenden
“De acteur vermeed een directe aanval op zijn doelwit, dat een hoog veiligheidsniveau handhaafde, maar voerde eerder een eerste aanval uit op zijn leverancier, het onderhouds- en reparatiebedrijf”, legden de agentschappen uit. “Dit geeft aan dat de acteur misbruik heeft gemaakt van de vertrouwensrelatie tussen de twee entiteiten.”
Het veiligheidsbulletin is het tweede in evenveel jaren dat door BfV en NIS wordt gepubliceerd. In maart 2023 waarschuwden de bureaus voor Kimsuky-acteurs die frauduleuze browserextensies gebruiken om de Gmail-inboxen van gebruikers te stelen. Kimsuky werd in november 2023 door de Amerikaanse regering gesanctioneerd.
De ontwikkeling komt op het moment dat blockchain-analysebedrijf Chainalysis onthulde dat de Lazarus Group is overgestapt op het gebruik van de YoMix bitcoin-mixer om gestolen opbrengsten wit te wassen na de sluiting van Sinbad eind vorig jaar, wat aangeeft dat ze hun modus operandi kunnen aanpassen als reactie op wetshandhavingsacties.
“Sinbad werd in 2022 een favoriete mixer voor aan Noord-Korea gelieerde hackers, kort na de sancties tegen Tornado Cash, wat voorheen de go-to was voor deze geavanceerde cybercriminelen”, aldus het bedrijf. “Nu Sinbad uit beeld is, heeft de Bitcoin-gebaseerde mixer YoMix als vervanger gefungeerd.”
De kwaadwillige activiteiten zijn het werk van een overvloed aan Noord-Koreaanse hackeenheden die opereren onder de brede Lazarus-paraplu, waarvan bekend is dat ze zich bezighouden met een reeks hackoperaties, variërend van cyberspionage tot diefstal van cryptocurrency, ransomware en supply chain-aanvallen om hun strategische doelen te bereiken. doelen.
