• Op de jaarlijkse ESET World-conferentie presenteerden onderzoekers een nieuwe analyse van de beruchte Lazarus APT-groep en zijn aanvallen op defensiebedrijven over de hele wereld tussen eind 2021 en maart 2022.
• Volgens ESET-telemetrie waren de doelen in Europa (Frankrijk, Italië,
Spanje, Duitsland, Tsjechië, Nederland, Polen en Oekraïne), het Midden-Oosten
(Turkije, Qatar) en Latijns-Amerika (Brazilië).
• Voor nep-wervingscampagnes werd gebruik gemaakt van apps als LinkedIn
en WhatsApp.
• Volgens de Amerikaanse regering heeft Lazarus banden met het
Noord-Koreaanse regime.
Bij gelijkaardige aanvallen uit 2021-2022 en volgens
ESET-telemetrie, richtte Lazarus zich op bedrijven in Europa (Frankrijk,
Italië, Duitsland, Nederland, Polen en Oekraïne) en Latijns-Amerika (Brazilië).
Hoewel het hoofddoel van Operatie Lazarus cyberspionage is,
heeft de groep ook (tevergeefs) geprobeerd geld te exfiltreren. “De
Lazarus-bedreigingsgroep is ingenieus geweest door het uitrollen van een set interessante
tools, waaronder ook een component in gebruikersmodus die een kwetsbaar
Dell-stuurprogramma kan misbruiken en zo in het kerngeheugen te schrijven. Deze
geavanceerde truc werd gebruikt om het monitoren van beveiligingsoplossingen te
omzeilen”, legde Jean-Ian Boutin uit.
In 2020 hadden ESET-onderzoekers al een campagne van een
Lazarus-subgroep tegen Europese lucht- en ruimtevaart- en defensiebedrijven gedocumenteerd.
ESET noemde het Operation In(ter)ception. Deze campagne viel op door het
gebruik van sociale media, zoals LinkedIn, om vertrouwen op te bouwen tussen de
aanvaller en nietsvermoedende werkzoekenden voordat ze kwaadaardige componenten
werden toe gestuurd die zich voordeden als functiebeschrijvingen of
sollicitaties. Op dat ogenblik waren bedrijven in Brazilië, Tsjechië, Qatar,
Turkije en Oekraïne reeds het doelwit.
ESET-onderzoekers dachten dat de actie in de eerste plaats
gericht was op het aanvallen van Europese bedrijven, maar door een aantal
Lazarus-subgroepen te volgen die gelijkaardige campagnes voerden tegen defensiebedrijven,
realiseerden ze zich al snel dat de campagne veel omvangrijker was. Hoewel de
malware die in verschillende campagnes werd gebruikt ook verschillend was,
bleef de initiële modus operandi (M.O.) altijd dezelfde: een nep-recruiter nam via
LinkedIn contact op met een werkzoekende en stuurde vervolgens kwaadaardige
componenten.
Ze gebruikten dus ze dezelfde M.O. als in het verleden.
ESET-onderzoekers zagen ook het hergebruik van elementen van legitieme
wervingscampagnes om de legitimiteit van hun nep-campagnes uit te breiden.
Bovendien gebruikten de aanvallers apps zoals WhatsApp of Slack in hun
kwaadaardige campagnes.
In 2021 heeft het Amerikaanse ministerie van Justitie drie
programmeurs aangeklaagd voor cyberaanvallen terwijl ze voor het
Noord-Koreaanse leger werkten. Volgens de Amerikaanse regering behoorden ze tot
de Noord-Koreaanse militaire hackeenheid die in de infosec-gemeenschap bekend
staat als de Lazarus Group.
Op de jaarlijkse conferentie presenteerde ESET ook nieuw
onderzoek over Lazarus: "Cyberwar Past and Present in Ukraine".
Robert Lipovsky, researcher bij ESET, onderzocht in detail de
cyberoorlogsvoering tijdens de Russische invasie van Oekraïne, inclusief de
laatste poging om het elektriciteitsnet van het land te verstoren met
Industroyer2 en verschillende wiper-aanvallen (wiper attacks).
Op ESET World besprak de Canadese astronaut Chris Hadfield,
voormalig commandant van het ISS Station (International Space Station) en
sleutelfiguur in ESET's Progress Protected-campagne, samen met ESET CEO,
Richard Marko, de fijne kneepjes van technologie, wetenschap en leven.
Over
ESET
Al meer dan 30 jaar ontwikkelt ESET® geavanceerde IT-beveiligingssoftware en -diensten om
bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen
tegen steeds meer gesofisticeerde digitale dreigingen. Van endpoint- en mobiele
beveiliging tot detectie en respons van endpoints, encryptie en multi-factor
authenticatie, beschermen en bewaken ESET's krachtige, gebruiksvriendelijke
oplossingen discreet 24/7. Ze updaten in realtime de verdediging om
ononderbroken gebruikers en ondernemingen te beveiligingen.
De constant veranderende bedreigingen vragen een schaalbare
provider van IT-beveiliging zodat technologie veilig kan gebruikt worden. Dit
wordt ondersteund door ESET’s R & D-centra over de hele wereld. Deze zetten
zich in om onze gemeenschappelijke toekomst te ondersteunen.
Voor meer informatie bezoek www.eset.com
of volg het nieuws op LinkedIn, Facebook,
en Twitter.
Om meer te vernemen over de
ESET-oplossingen, bezoek https://www.este.com/be-nl/