Eine bösartige Kampagne der mit Nordkorea verbundenen Lazarus Group zielte zwischen Februar und Juli 2022 auf Energieversorger auf der ganzen Welt ab, darunter auch auf solche in den USA, Kanada und Japan.
„Die Kampagne zielt darauf ab, Organisationen auf der ganzen Welt zu infiltrieren, um sich langfristig Zugang zu verschaffen und anschließend Daten zu exfiltrieren, die für den gegnerischen Nationalstaat von Interesse sind“, so Cisco Talos in einem Bericht, der The Hacker News vorliegt.
Einige Elemente der Spionageangriffe sind bereits an die Öffentlichkeit gelangt, wie die Berichte von Symantec und AhnLab, die zu Broadcom gehören, im April und Mai dieses Jahres zeigten. Symantec schrieb die Operation einer Gruppe namens Stonefly zu, einer Lazarus-Untergruppe, die besser bekannt ist als Andariel, Guardian of Peace, OperationTroy und Silent Chollima.
Während bei diesen Angriffen zuvor die Implantate Preft (auch bekannt als Dtrack) und NukeSped (auch bekannt als Manuscrypt) zum Einsatz kamen, zeichnet sich die jüngste Angriffswelle durch den Einsatz von zwei weiteren Schadprogrammen aus: VSingle, ein HTTP-Bot, der beliebigen Code über ein entferntes Netzwerk ausführt, und eine Golang-Backdoor namens YamaBot.
Außerdem wird in der Kampagne ein neuer Fernzugriffstrojaner namens MagicRAT eingesetzt, der die Fähigkeit besitzt, die Erkennung zu umgehen und zusätzliche Nutzlasten auf die infizierten Systeme zu schleusen.
„Obwohl bei beiden Angriffen die gleichen Taktiken angewandt wurden, unterschieden sich die eingesetzten Malware-Implantate voneinander, was auf die große Vielfalt der Lazarus-Implantate hinweist“, so die Forscher Jung soo An, Asheer Malhotra und Vitor Ventura.
Der anfängliche Zugang zu Unternehmensnetzwerken wird durch die Ausnutzung von Schwachstellen in VMware-Produkten (z. B. Log4Shell) erleichtert, mit dem Ziel, dauerhaften Zugang zu erlangen, um Aktivitäten zur Unterstützung der Ziele der nordkoreanischen Regierung durchzuführen.
Die Verwendung von VSingle in einer Angriffskette soll es den Bedrohungsakteuren ermöglicht haben, eine Vielzahl von Aktivitäten wie Aufklärungsarbeit, Exfiltration und manuelles Backdooring durchzuführen, wodurch die Betreiber ein solides Verständnis der Opferumgebung erlangten.
Zu den weiteren Taktiken der Gruppe gehören neben der Verwendung maßgeschneiderter Malware auch das Auslesen von Anmeldeinformationen mit Tools wie Mimikatz und Procdump, die Deaktivierung von Antivirenkomponenten, die Erkundung von Active Directory-Diensten und sogar die Beseitigung von Spuren nach der Aktivierung der Backdoors auf dem Endpunkt.