Tekuća istraga o nedavnim napadima grupe Lazarus iz Sjeverne Koreje na entitete za kriptovalute i programere softvera širom svijeta otkrila je skriveni administrativni sloj koji je haker koristio za centralno upravljanje infrastrukturom za komandu i kontrolu (C2) kampanje.
Istraga istraživača u SecurityScorecard-u pokazala je da Lazarus koristi novootkrivenu infrastrukturu za održavanje direktnog nadzora nad narušenim sistemima, kontrolu isporuke tereta na njima i efikasno upravljanje eksfiltriranim podacima. Važno je napomenuti da haker koristi istu web-baziranu administrativnu platformu u drugim kampanjama, uključujući i onu koja uključuje lažno predstavljanje IT radnika, otkrio je dobavljač sigurnosti.
Razrađena operativna sigurnost
Iako je haker implementirao razrađene operativne sigurnosne mjere kako bi pokušao izbjeći pripisivanje, SecurityScorecard je rekao da je uspio povezati kampanju i infrastrukturu sa Sjevernom Korejom s visokim stepenom povjerenja.
“Analiza pokazuje da je Lazarus organizovao globalnu operaciju usmjerenu na industriju kriptovaluta i programere širom svijeta”, rekao je SecurityScorecard u izvještaju ove sedmice . „Kampanje su rezultovale stotinama žrtava koje su preuzele i izvršile korisne podatke, dok su se u pozadini eksfiltrirani podaci vraćali u Pjongjang.“
SecurityScorecard je otkrio “Phantom Circuit”, naziv kojim prati novootkriveni administratorski sloj Lazarus grupe, dok je provodio naknadne istrage koje uključuju “Operaciju 99”, malicioznu kampanju koju je nedavno otkrio usmjerenu na industriju kriptovaluta i programere širom svijeta. U kampanji , članovi grupe za prijetnje su se predstavljali kao regruteri na LinkedInu i drugim online forumima za zapošljavanje kako bi naveli programere softvera da se uključe u lažne testove projekata i preglede koda.
Žrtve koje padnu na prevaru upućene su da kloniraju naizgled benigno, ali štetno GitHub skladište otvorenog koda. Klonirano skladište se povezuje sa C2 infrastrukturom Lazarus grupe, koju je haker tada koristio da ukrade malver koji krade podatke u okolini žrtve. Kao dio kampanje, hakeri Lazarus grupe su ubacivali prikriveni backdoor u legitimne softverske proizvode – uključujući aplikacije za autentifikaciju i softver za kriptovalute – i pokušavali da prevare programere da ih pokrenu u svojim okruženjima. SecurityScorecard procjenjuje da je više od 230 žrtava preuzelo maliciozne sadržaje u posljednjoj kampanji sjevernokorejskog hakera.
Dvojni motivi
“Motivacija je dvostruka: krađa kriptovaluta i infiltracija u korporativne mreže”, kaže Ryan Sherstobitoff, viši potpredsjednik za obavještavanje o prijetnjama u SecurityScorecard. Programeri koji postanu žrtve mamaca Lazarus grupe na kraju izvršavaju klonirani kod na svojim korporativnim uređajima i u svom radnom okruženju. “Korisni tereti su dizajnirani da iznude razvojne tajne”, kaže on.
SecurityScorecard je otkrio administrativni sloj Phantom Circuit pokušavajući da shvati kako su Lazarusovi hakeri upravljali informacijama koje su ukrali putem Operacije 99. Ono što je kompanija otkrila su članovi Lazarusa koji su koristili, kako je opisala, sofisticiranu mrežu Astrill VPN-ova i proksija za pristup C2 infrastrukturi Operacije 99 na veoma skriven način. Astrill , koji ima VPN servere u 142 grada i 56 zemalja, ima reputaciju po tome što omogućava korisnicima da anonimno pretražuju web i zaobilaze ograničenja interneta u zemljama s jakom cenzurom.
Istraživači SecurityScorecard-a su otkrili da članovi Lazarusa koriste Astrill VPN-ove za povezivanje na posrednu proxy mrežu registrovanu kod transportne kompanije u Hasanu u Rusiji. Zatim su koristili proxy mrežu da se povežu na C2 infrastrukturu Operacije 99 u razrađenom pokušaju da pokušaju sakriti svoje tragove. Sami C2 serveri su bili hostovani na infrastrukturi registrovanoj kod najvjerovatnije izmišljenog “Stark Industries, LLC”.
„SecurityScorecard sa velikom pouzdanošću procjenjuje da su IP-ovi korišteni za povezivanje na C2 bili samo proxy i korišteni za prikrivanje pravog porijekla“, napisala je kompanija u svom izvještaju ove sedmice. “Protivnik je uspostavljao sekundarnu sesiju nakon povezivanja na VPN sa proxyjem, prikrivajući na taj način pravo porijeklo odakle su se zapravo povezali.” SecureScorecard je rekao da je uspio identifikovati ukupno šest različitih IP adresa u Pjongjangu koje je haker koristio za pokretanje Astrill VPN konekcija na C2 mrežu Operacije 99.
Izvor: Dark Reading