Một nhóm tấn công đa dạng do nhà nước Triều Tiên tài trợ đã bị ràng buộc với một chiến dịch gián điệp mới đang diễn ra nhằm mục đích lấy cắp thông tin nhạy cảm từ các tổ chức trong ngành công nghiệp quốc phòng.
Thực hiện các cuộc tấn công với độ tin cậy cao cho Lazarus Group, những phát hiện mới từ Kaspersky báo hiệu sự mở rộng chiến thuật của tác nhân APT bằng cách vượt ra khỏi phạm vi thông thường của tội phạm có động cơ tài chính để tài trợ cho chế độ thiếu tiền mặt.
Việc mở rộng lợi ích chiến lược này đã xảy ra vào đầu năm 2020 bằng cách tận dụng một công cụ có tên là Đe doạ, các nhà nghiên cứu Vyacheslav Kopeytsev và Seongsu Park cho biết trong một bài viết hôm thứ Năm.
Ở cấp độ cao, chiến dịch sử dụng phương pháp tiếp cận nhiều bước, bắt đầu bằng một cuộc tấn công lừa đảo bằng giáo được thiết kế cẩn thận dẫn đến cuối cùng những kẻ tấn công giành được quyền kiểm soát từ xa đối với các thiết bị.
ThreatNeedle được gửi đến các mục tiêu thông qua email theo chủ đề COVID với các tệp đính kèm Microsoft Word độc hại dưới dạng các vectơ lây nhiễm ban đầu, khi mở ra, sẽ chạy macro chứa mã độc hại được thiết kế để tải xuống và thực thi các tải bổ sung trên hệ thống bị nhiễm.
Phần mềm độc hại ở giai đoạn tiếp theo hoạt động bằng cách nhúng các khả năng độc hại của nó vào bên trong cửa hậu Windows, cung cấp các tính năng để trinh sát ban đầu và triển khai phần mềm độc hại để di chuyển bên và lấy sạch dữ liệu.
Các nhà nghiên cứu bảo mật của Kaspersky cho biết: “Sau khi được cài đặt, ThreatNeedle có thể có toàn quyền kiểm soát thiết bị của nạn nhân, có nghĩa là nó có thể làm mọi thứ từ thao tác các tệp đến thực hiện các lệnh đã nhận” nói.
Kaspersky đã tìm thấy sự trùng lặp giữa ThreatNeedle và một họ phần mềm độc hại khác có tên là Manuscrypt đã được Lazarus Group sử dụng trong các chiến dịch tấn công trước đó chống lại ngành công nghiệp trò chơi di động và tiền điện tử, bên cạnh việc phát hiện ra các kết nối với các cụm Lazarus khác như AppleJeus, DeathNote, và Mã sách.
Điều thú vị là Manuscrypt cũng đã được triển khai trong một hoạt động của Lazarus Group vào tháng trước, liên quan đến nhắm mục tiêu đến cộng đồng an ninh mạng với các cơ hội hợp tác nghiên cứu lỗ hổng bảo mật, chỉ để lây nhiễm phần mềm độc hại cho nạn nhân có thể gây ra hành vi trộm cắp các khai thác do các nhà nghiên cứu phát triển vì các lỗ hổng có thể chưa được tiết lộ, do đó sử dụng chúng để thực hiện các cuộc tấn công tiếp theo vào các mục tiêu dễ bị tấn công mà họ lựa chọn.
Có lẽ mối quan tâm nhất của sự phát triển là một kỹ thuật được những kẻ tấn công áp dụng để vượt qua các biện pháp bảo vệ phân đoạn mạng trong một mạng doanh nghiệp không tên bằng cách “giành quyền truy cập vào một máy định tuyến nội bộ và định cấu hình nó như một máy chủ proxy, cho phép chúng lấy dữ liệu bị đánh cắp khỏi mạng nội bộ mạng tới máy chủ từ xa của họ. “
Công ty an ninh mạng cho biết các tổ chức ở hơn một chục quốc gia đã bị ảnh hưởng cho đến nay.
Ít nhất một trong số các email lừa đảo trực tuyến được đề cập trong báo cáo được viết bằng tiếng Nga, trong khi một thư khác đi kèm với tệp đính kèm độc hại có tên “Boeing_AERO_GS.docx”, có thể ám chỉ một mục tiêu của Hoa Kỳ.
Đầu tháng này, ba tin tặc Triều Tiên có liên hệ với bộ phận tình báo quân sự của Triều Tiên đã bị cáo buộc bởi Bộ Tư pháp Hoa Kỳ vì bị cáo buộc tham gia vào một âm mưu tội phạm nhằm tống tiền 1,3 tỷ đô la tiền điện tử và tiền mặt từ các ngân hàng và các tổ chức khác trên thế giới.
Các nhà nghiên cứu kết luận: “Trong những năm gần đây, nhóm Lazarus tập trung tấn công các tổ chức tài chính trên thế giới. “Tuy nhiên, bắt đầu từ đầu năm 2020, họ tập trung tấn công mạnh mẽ vào ngành công nghiệp quốc phòng.”
“Mặc dù trước đây Lazarus cũng đã sử dụng phần mềm độc hại ThreatNeedle được sử dụng trong cuộc tấn công này khi nhắm mục tiêu vào các doanh nghiệp tiền điện tử, nhưng nó hiện đang được tích cực sử dụng trong các cuộc tấn công gián điệp mạng.”
