Najnovšia správa odhaľuje útoky severokórejských hackerov na dodávateľský reťazec

Lazarus Group, skupina pre pokročilú perzistentnú hrozbu (APT) pripisovanú severokórejskej vláde, bola pozorovaná, ako vedie dve samostatné útočné kampane na dodávateľský reťazec ako prostriedok na získanie oporu v podnikových sieťach a zameranie sa na široké spektrum nadväzujúcich subjektov.

Najnovšia operácia na zhromažďovanie spravodajských informácií zahŕňala použitie malvérového rámca MATA, ako aj zadných vrátok s názvom BLINDINGCAN a COPPERHEDGE na útok na obranný priemysel, dodávateľa riešení na monitorovanie IT aktív so sídlom v Lotyšsku a think-tank so sídlom v Južnej Kórei. Správa APT Trends za 3. štvrťrok 2021 publikovaná spoločnosťou Kaspersky.

V jednom prípade pochádzal útok dodávateľského reťazca z infekčného reťazca, ktorý pramenil z legitímneho juhokórejského bezpečnostného softvéru so škodlivým užitočným zaťažením, čo viedlo k nasadeniu malvéru BLINDINGCAN a COPPERHEDGE v sieti think-tanku v júni 2021. Druhý útok na lotyšská spoločnosť v máji je pre Lazara “netypickou obeťou”, uviedli vedci.

Nie je jasné, či Lazarus manipuloval so softvérom dodávateľa IT na distribúciu implantátov, alebo či skupina zneužila prístup do siete spoločnosti na narušenie iných zákazníkov. Ruská spoločnosť zaoberajúca sa kybernetickou bezpečnosťou sleduje kampaň pod klastrom DeathNote.

To nie je všetko. V zdanlivo odlišnej kampani kybernetickej špionáže bol protivník spozorovaný aj pri využívaní multiplatformového malvérového rámca MATA na vykonávanie množstva škodlivých aktivít na infikovaných počítačoch. “Herec dodal trojanizovanú verziu aplikácie, o ktorej je známe, že ju používa obeť podľa vlastného výberu, čo predstavuje známu charakteristiku Lazara,” poznamenali vedci.

Podľa doterajších zistení Kaspersky je kampaň MATA schopná zasiahnuť Windows, Linux a macOS s infraštruktúrou útokov, ktorá umožňuje protivníkovi uskutočniť viacstupňový infekčný reťazec, ktorý vyvrcholí načítaním ďalších doplnkov, ktoré umožňujú prístup k množstvu informácií vrátane súborov uložených v zariadení, extrahujú citlivé databázové informácie, ako aj vloženie ľubovoľných knižníc DLL.

Za Lazarusom sa zistilo, že čínsky hovoriaci aktér hrozby APT, podozrivý z HoneyMyte, si osvojil rovnakú taktiku, pričom inštalačný balík softvéru snímača odtlačkov prstov bol upravený tak, aby nainštaloval zadné vrátka PlugX na distribučný server patriaci vládnej agentúre v nemenovanej krajine. v južnej Ázii. Kaspersky označil incident dodávateľského reťazca ako „SmudgeX“.

Tento vývoj prichádza v čase, keď sa kybernetické útoky zamerané na dodávateľský reťazec IT stali hlavným problémom v dôsledku prieniku SolarWinds v roku 2020, čo poukazuje na potrebu prijať prísne postupy zabezpečenia účtov a prijať preventívne opatrenia na ochranu podnikového prostredia.