Οι Βορειοκορεάτες hackers Lazarus εκμεταλλεύονται ευπάθειες ασφαλείας στο Apache Log4j library για την ανάπτυξη trojans απομακρυσμένης πρόσβασης (RAT) σε παραβιασμένους υπολογιστές.
Η Cisco Talos παρακολουθεί τη νέα εκστρατεία με το όνομα Operation Blacksmith, σημειώνοντας τη χρήση τριών DLang-based malware, συμπεριλαμβανομένου του NineRAT RAT που αξιοποιεί το Telegram για command-and-control (C2), του DLRAT και ενός downloader με το όνομα BottomLoader.
Η εταιρεία κυβερνοασφάλειας περιέγραψε τις πιο πρόσφατες τακτικές των Lazarus hackers ως οριστική αλλαγή και είπε ότι υπάρχει αλληλοεπικάλυψη με την ομάδα Andariel, που είναι μια υποομάδα της Lazarus.
“Η Andariel συνήθως ασχολείται με την αρχική πρόσβαση, την αναγνώριση και τη δημιουργία μακροπρόθεσμης πρόσβασης για κατασκοπεία, για την υποστήριξη των εθνικών συμφερόντων της κυβέρνησης της Βόρειας Κορέας“, δήλωσαν οι ερευνητές της Talos, Jung soo An, Asheer Malhotra και Vitor Ventura.
Δείτε επίσης: Sinbad: Κατασχέθηκε ο crypto mixer της ομάδας Lazarus
Οι αλυσίδες επίθεσης περιλαμβάνουν την εκμετάλλευση του CVE-2021-44228, γνωστού και ως Log4Shell bug έναντι διακομιστών VMWare Horizon που είναι προσβάσιμοι στο κοινό. Στόχος είναι η παράδοση του NineRAT. Συνήθως, οι hackers στοχεύουν τους τομείς της μεταποίησης, της γεωργίας και της φυσικής ασφάλειας.
Πρόσφατα κυκλοφόρησε μια έκθεση που αναφέρει ότι το κρίσιμο Log4Shell bug εξακολουθεί να χρησιμοποιείται ευρέως σε επιθέσεις, αφού το 2,8% των εφαρμογών που βασίζεται στο Log4j, χρησιμοποιούν εκδόσεις (από 2.0-beta9 έως 2.15.0) που είναι ευάλωτες σε ευπάθειες ασφαλείας, συμπεριλαμβανομένου του Log4Shell bug. Το ανησυχητικό είναι ότι η ευπάθεια Log4Shell έχει διορθωθεί από την εταιρεία εδώ και δύο χρόνια.
Επομένως, η εκμετάλλευση του Log4Shell από τους Lazarus hackers δεν αποτελεί έκπληξη. Το NineRAT, που αναπτύχθηκε για πρώτη φορά το Μάιο του 2022, λέγεται ότι χρησιμοποιήθηκε πριν από μερικούς μήνες σε μια επίθεση που στόχευσε γεωργικό οργανισμό της Νότιας Αμερικής. Μετά, εντοπίστηκε ξανά τον Σεπτέμβριο του 2023 σε επίθεση σε ευρωπαϊκή κατασκευαστική οντότητα. Χρησιμοποιώντας μια νόμιμη υπηρεσία ανταλλαγής μηνυμάτων για επικοινωνίες C2, ο στόχος είναι να αποφύγει τον εντοπισμό.
Το κακόβουλο λογισμικό λειτουργεί ως το κύριο μέσο αλληλεπίδρασης με το μολυσμένο υπολογιστή, επιτρέποντας στους εισβολείς να στέλνουν εντολές για τη συλλογή πληροφοριών συστήματος, τη μεταφόρτωση αρχείων ενδιαφέροντος, τη λήψη πρόσθετων αρχείων, ακόμη και την απεγκατάσταση και την αναβάθμιση του εαυτού του.
Δείτε επίσης: Οι Lazarus hackers παραβίασαν τη CyberLink στα πλαίσια supply chain επίθεσης
“Μόλις ενεργοποιηθεί το NineRAT, δέχεται προκαταρκτικές εντολές από το κανάλι C2 που βασίζεται στο telegram για να κάνει ξανά fingerprint τα μολυσμένα συστήματα“, σημείωσαν οι ερευνητές.
“Το Re-fingerprinting μολυσμένων συστημάτων υποδεικνύει ότι τα δεδομένα που συλλέγονται από τους Lazarus hackers μέσω του NineRAT μπορεί να κοινοποιηθούν από άλλες ομάδες APT και ουσιαστικά βρίσκονται σε διαφορετικό χώρο αποθήκευσης από τα fingerprint data που συλλέχθηκαν αρχικά από την Lazarus κατά τη φάση της αρχικής πρόσβασης και ανάπτυξης του implant“.
Σύμφωνα με τους ερευνητές, στις επιθέσεις χρησιμοποιείται και ένα custom proxy tool με το όνομα HazyLoad. Το BottomLoader downloader είναι αυτό που κατεβάζει το HazyLoad και το εκτελεί.
Επιπλέον, η εκστρατεία Operation Blacksmith διανέμει το DLRAT, το οποίο είναι και downloader και RAT, εξοπλισμένο για να πραγματοποιεί system reconnaissance, να αναπτύσσει πρόσθετο κακόβουλο λογισμικό και να ανακτά εντολές από το C2 και να τις εκτελεί στα παραβιασμένα συστήματα.
Επιθέσεις ομάδας Lazarus
Οι πιθανές συνέπειες των επιθέσεων της ομάδας Lazarus μπορούν να είναι σοβαρές και επιζήμιες για τα θύματα της. Μια από τις συνέπειες είναι η κλοπή ευαίσθητων πληροφοριών, όπως προσωπικά δεδομένα, οικονομικές πληροφορίες ή επαγγελματικά μυστικά. Αυτές οι πληροφορίες μπορούν να χρησιμοποιηθούν για απάτες, εκβιασμούς ή κακόβουλες ενέργειες.
Επιπλέον, η hacking ομάδα Lazarus μπορεί να προκαλέσει σοβαρές οικονομικές απώλειες στα θύματά της. Με την παραβίαση των συστημάτων ασφαλείας, μπορεί να προκαλέσει διακοπές λειτουργίας, απώλεια εμπιστοσύνης των πελατών ή ακόμη και κατάρρευση επιχειρήσεων. Αυτό μπορεί να έχει σοβαρές επιπτώσεις στην οικονομική κατάσταση των θυμάτων.
Δείτε επίσης: Οι Lazarus hackers στόχευσαν προμηθευτή λογισμικού χρησιμοποιώντας γνωστές ευπάθειες
Επιπλέον, οι επιθέσεις της ομάδας Lazarus μπορούν να έχουν πολιτικές συνέπειες. Με την επιθετική της δράση, μπορεί να προκαλέσει διεθνείς εντάσεις και αντιπαραθέσεις μεταξύ χωρών. Επιπλέον, η αποκάλυψη των επιθέσεών της μπορεί να έχει αρνητικές επιπτώσεις στην εικόνα και το κύρος των θυμάτων, ενδυναμώνοντας την αντίληψη για την αδυναμία τους στον τομέα της κυβερνοασφάλειας.
Τέλος, οι Lazarus hackers μπορούν να επηρεάσουν την κοινωνία και την προσωπική ζωή των θυμάτων. Με την παραβίαση της ιδιωτικότητας και την κλοπή προσωπικών πληροφοριών, μπορούν να προκαλέσουν ανασφάλεια, ανησυχία και απώλεια εμπιστοσύνης στην τεχνολογία και τις ψηφιακές υπηρεσίες. Επιπλέον, μπορούν να δημιουργήσουν ένα κλίμα φόβου και ανασφάλειας στην κοινωνία, επηρεάζοντας την ελευθερία και την ασφάλεια των ατόμων.
Πηγή: thehackernews.com
