Cybergang Lazarus atakuje branżę obronną i łańcuch dostaw

Zaawansowane cybergangi nieustannie doskonalą swoje technologie, jednak mogą działać w różnych modelach. Podczas gdy jedne konsekwentnie trzymają się przyjętej strategii, inne stosują nowe techniki, taktyki oraz procedury. W trzecim kwartale bieżącego roku badacze z firmy Kaspersky zaobserwowali, że Lazarus – zaawansowane i niezwykle produktywne ugrupowanie – rozwinęło swoje możliwości przeprowadzania ataków na łańcuch dostaw oraz wykorzystywało swoje wieloplatformowe środowisko MATA do celów cyberszpiegowskich. Ten i inne światowe trendy dotyczące ataków APT zostały zaprezentowane przez firmę Kaspersky w najnowszym podsumowaniu kwartalnej analizy zagrożeń.

 

Lazarus jest jednym z najaktywniejszych cybergangów, działającym od co najmniej 2009 r. Ugrupowanie to stoi za przeprowadzonymi na szeroką skalę kampaniami cyberszpiegowskimi oraz ransomware, jak również za atakami na branżę obronności oraz rynek kryptowaluty. Wydaje się, że ugrupowanie to postanowiło wykorzystać swoje zróżnicowane, zaawansowane narzędzia w nowych atakach.

W czerwcu 2021 r. badacze z firmy Kaspersky wykryli ataki na branżę obronną przeprowadzone przez ugrupowanie Lazarus z wykorzystaniem środowiska szkodliwego oprogramowania MATA, którego celem były trzy systemy operacyjne – Windows, Linux oraz macOS. Wcześniej Lazarus stosował platformę MATA do atakowania różnych branż w celu kradzieży baz danych dot. klientów oraz rozprzestrzeniania oprogramowania ransomware. Jednak tym razem badacze zauważyli, że cybergang posłużył się tą technologią w celach cyberszpiegowskich. Atakujący zastosowali swoją typową taktykę, czyli posłużyli się zawierającą “tylne drzwi” aplikacją wykorzystywaną przez ofiary. Co istotne, nie był to pierwszy raz, gdy ugrupowanie to wzięło na celownik branżę obronną: wcześniejsza kampania ThreatNeedle została przeprowadzona w podobny sposób w połowie 2020 r.

Lazarus rozwijał również swoje możliwości przeprowadzania ataków na łańcuch dostaw za pomocą uaktualnionego szkodliwego programu BLINDINGCAN zidentyfikowanego przez amerykańską agencję CISA (Cybersecurity and Infrastructure Security Agency). Badacze z firmy Kaspersky wykryli kampanie wymierzone w południowokoreański think-tank oraz producenta rozwiązania do monitorowania zasobów IT. W pierwszym przypadku Lazarus opracował łańcuch infekcji, który opierał się na legalnym południowokoreańskim oprogramowaniu bezpieczeństwa, które instalowało szkodliwą funkcję. W drugim przypadku cel stanowiła firma z Łotwy rozwijająca technologię do monitorowania zasobów – nietypowa ofiara jak na to ugrupowanie. W ramach łańcucha infekcji Lazarus wykorzystał narzędzie pobierające o nazwie Racket, które zostało podpisane przy użyciu skradzionego certyfikatu cyfrowego. Ugrupowanie złamało zabezpieczenia podatnych na ataki serwerów webowych i umieściło na nich kilka skryptów w celu filtrowania oraz kontrolowania szkodliwych modułów na zainfekowanych urządzeniach.

Nasze odkrycia wskazują na dwie rzeczy: ugrupowanie Lazarus nadal interesuje się branżą obronności oraz próbuje rozszerzyć swoje możliwości o ataki na łańcuch dostaw. Nie jest to jedyny cybergang atakujący w ten sposób. W minionym kwartale podobne ataki zostały przeprowadzone również przez ugrupowania SmudgeX oraz BountyGlad. Skuteczne ataki na łańcuch dostaw mogą mieć druzgocące skutki dotykające więcej niż jedną organizację – o czym mogliśmy się przekonać w zeszłym roku na przykładzie ataku SolarWinds. Zważywszy na to, że ugrupowania cyberprzestępcze inwestują w możliwości przeprowadzania tego rodzaju ataków, należy zachować czujność oraz skoncentrować wysiłki na tym froncie – powiedział Ariel Jungheit, starszy badacz ds. cyberbezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz w firmie Kaspersky.

Porady bezpieczeństwa

Eksperci z firmy Kaspersky zalecają stosowanie następujących działań minimalizujących prawdopodobieństwo padnięcia ofiarą ataku ukierunkowanego znanego bądź nieznanego ugrupowania:

• Zapewnij swojemu zespołowi z centrum operacji bezpieczeństwa dostęp do najnowszej analizy zagrożeń przy użyciu takich zasobów jak Kaspersky Threat Intelligence Portal – jest to pojedynczy punkt dostępu eksperckiej wiedzy firmy Kaspersky, oferujący informacje dotyczące cyberataków oraz szczegółowe dane zgromadzone przez firmę na przestrzeni 20 lat. Darmowy dostęp do wybranych funkcji umożliwiający sprawdzanie plików, adresów URL oraz IP można uzyskać tutaj.
• Podnieś kwalifikacje swojego zespołu ds. cyberbezpieczeństwa w zakresie zwalczania najnowszych zagrożeń ukierunkowanych, udostępniając mu szkolenie online firmy Kaspersky opracowane przez ekspertów z zespołu GReAT.
• W celu zapewnienia wykrywania i badania incydentów na poziomie punktów końcowych, jak również łagodzenia ich skutków, wdróż rozwiązanie EDR, takie jak Kaspersky Endpoint Detection and Response.
• Oprócz niezbędnej ochrony punktów końcowych stosuj rozwiązanie bezpieczeństwa klasy korporacyjnej, takie jak Kaspersky Anti Targeted Attack Platform, które wykrywa zaawansowane zagrożenia na poziomie sieci już na wczesnym etapie.
• Ponieważ wiele ataków ukierunkowanych rozpoczyna się od phishingu lub socjotechniki, wprowadź szkolenie w zakresie świadomości bezpieczeństwa i naucz swój zespół praktycznych umiejętności – w tym celu możesz skorzystać z usługi Kaspersky Automated Security Awareness Platform.

Pełny raport poświęcony ewolucji zagrożeń APT w trzecim kwartale 2021 r. jest dostępny na stronie https://r.kaspersky.pl/4aT1V.