ESET Research: Lazarus valt wereldwijd luchtvaart-, ruimtevaart- en defensiebedrijven aan en misbruikt LinkedIn en WhatsApp
Jean-Ian Boutin, hoofd ESET Threat Research, onderzocht tussen eind 2021 en maart 2022 verschillende nieuwe campagnes van de Lazarus Group tegen defensiebedrijven wereldwijd.
Bij gelijkaardige aanvallen uit 2021-2022 en volgens ESET-telemetrie, richtte Lazarus zich op bedrijven in Europa (Frankrijk, Italië, Duitsland, Nederland, Polen en Oekraïne) en Latijns-Amerika (Brazilië).
Hoewel het hoofddoel van Operatie Lazarus cyberspionage is, heeft de groep ook (tevergeefs) geprobeerd geld te exfiltreren. “De Lazarus-bedreigingsgroep is ingenieus geweest door het uitrollen van een set interessante tools, waaronder ook een component in gebruikersmodus die een kwetsbaar Dell-stuurprogramma kan misbruiken en zo in het kerngeheugen te schrijven. Deze geavanceerde truc werd gebruikt om het monitoren van beveiligingsoplossingen te omzeilen”, legde Jean-Ian Boutin uit.
In 2020 hadden ESET-onderzoekers al een campagne van een Lazarus-subgroep tegen Europese lucht- en ruimtevaart- en defensiebedrijven gedocumenteerd. ESET noemde het Operation In(ter)ception. Deze campagne viel op door het gebruik van sociale media, zoals LinkedIn, om vertrouwen op te bouwen tussen de aanvaller en nietsvermoedende werkzoekenden voordat ze kwaadaardige componenten werden toe gestuurd die zich voordeden als functiebeschrijvingen of sollicitaties. Op dat ogenblik waren bedrijven in Brazilië, Tsjechië, Qatar, Turkije en Oekraïne reeds het doelwit.
ESET-onderzoekers dachten dat de actie in de eerste plaats gericht was op het aanvallen van Europese bedrijven, maar door een aantal Lazarus-subgroepen te volgen die gelijkaardige campagnes voerden tegen defensiebedrijven, realiseerden ze zich al snel dat de campagne veel omvangrijker was. Hoewel de malware die in verschillende campagnes werd gebruikt ook verschillend was, bleef de initiële modus operandi (M.O.) altijd dezelfde: een nep-recruiter nam via LinkedIn contact op met een werkzoekende en stuurde vervolgens kwaadaardige componenten.
Ze gebruikten dus ze dezelfde M.O. als in het verleden. ESET-onderzoekers zagen ook het hergebruik van elementen van legitieme wervingscampagnes om de legitimiteit van hun nep-campagnes uit te breiden. Bovendien gebruikten de aanvallers apps zoals WhatsApp of Slack in hun kwaadaardige campagnes.
Dit artikel is geschreven door één van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.
Jean-Ian Boutin, hoofd ESET Threat Research, onderzocht tussen eind 2021 en maart 2022 verschillende nieuwe campagnes van de Lazarus Group tegen defensiebedrijven wereldwijd.
Bij gelijkaardige aanvallen uit 2021-2022 en volgens ESET-telemetrie, richtte Lazarus zich op bedrijven in Europa (Frankrijk, Italië, Duitsland, Nederland, Polen en Oekraïne) en Latijns-Amerika (Brazilië).
Hoewel het hoofddoel van Operatie Lazarus cyberspionage is, heeft de groep ook (tevergeefs) geprobeerd geld te exfiltreren. “De Lazarus-bedreigingsgroep is ingenieus geweest door het uitrollen van een set interessante tools, waaronder ook een component in gebruikersmodus die een kwetsbaar Dell-stuurprogramma kan misbruiken en zo in het kerngeheugen te schrijven. Deze geavanceerde truc werd gebruikt om het monitoren van beveiligingsoplossingen te omzeilen”, legde Jean-Ian Boutin uit.
In 2020 hadden ESET-onderzoekers al een campagne van een Lazarus-subgroep tegen Europese lucht- en ruimtevaart- en defensiebedrijven gedocumenteerd. ESET noemde het Operation In(ter)ception. Deze campagne viel op door het gebruik van sociale media, zoals LinkedIn, om vertrouwen op te bouwen tussen de aanvaller en nietsvermoedende werkzoekenden voordat ze kwaadaardige componenten werden toe gestuurd die zich voordeden als functiebeschrijvingen of sollicitaties. Op dat ogenblik waren bedrijven in Brazilië, Tsjechië, Qatar, Turkije en Oekraïne reeds het doelwit.
ESET-onderzoekers dachten dat de actie in de eerste plaats gericht was op het aanvallen van Europese bedrijven, maar door een aantal Lazarus-subgroepen te volgen die gelijkaardige campagnes voerden tegen defensiebedrijven, realiseerden ze zich al snel dat de campagne veel omvangrijker was. Hoewel de malware die in verschillende campagnes werd gebruikt ook verschillend was, bleef de initiële modus operandi (M.O.) altijd dezelfde: een nep-recruiter nam via LinkedIn contact op met een werkzoekende en stuurde vervolgens kwaadaardige componenten.
Ze gebruikten dus ze dezelfde M.O. als in het verleden. ESET-onderzoekers zagen ook het hergebruik van elementen van legitieme wervingscampagnes om de legitimiteit van hun nep-campagnes uit te breiden. Bovendien gebruikten de aanvallers apps zoals WhatsApp of Slack in hun kwaadaardige campagnes.
Dit artikel is geschreven door één van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.