Aktéři pokročilých perzistentních hrozeb (APT) neustále zdokonalují svoje metody práce. Někteří sice zůstávají ve své strategii konzistentní, jiní si však rychle osvojují nové techniky, taktiky a postupy. Ve třetím čtvrtletí výzkumníci společnosti Kaspersky zaznamenali, že skupina Lazarus, velmi aktivní tvůrce pokročilých hrozeb, rozvíjí svoje schopnosti útoku na dodavatelské řetězce a využívá svůj multiplatformní framework MATA pro kybernetickou špionáž.
Lazarus patří mezi nejaktivnější iniciátory hrozeb na světě a působí přinejmenším od roku 2009. Tato skupina využívající APT stojí za rozsáhlými kybernetickými špionážními a ransomwarovými kampaněmi a byla vystopována při útocích na obranný průmysl a trh s kryptoměnami. Má k dispozici řadu pokročilých nástrojů a zdá se, že se je rozhodla použít k novým cílům.
V červnu 2021 analytici společnosti zaznamenali, že Lazarus útočí na obranný průmysl pomocí malwarového frameworku MATA, který umožňuje napadat tři operační systémy – Windows, Linux a macOS. Skupina Lazarus používala dříve MATA k útokům na různá průmyslová odvětví, například pro krádeže zákaznických databází nebo šíření ransomwaru. Tentokrát však naši výzkumníci vysledovali, že Lazarus využívá MATA i pro kybernetickou špionáž. Útočníci připravili trojanizovanou verzi aplikace, o které věděli, že ji používá jimi vybraná oběť, což je dobře známý charakteristický postup skupiny Lazarus. Za povšimnutí stojí, že to není poprvé, co tato skupina zaútočila na obranný průmysl – její předchozí kampaň ThreatNeedle byla provedena podobným způsobem v polovině roku 2020.
Skupina Lazarus byla také přistižena při vytváření prostředků schopných zaútočit na dodavatelské řetězce pomocí aktualizovaného clusteru DeathNote, který obsahuje mírně upravenou variantu malwaru BLINDINGCAN, o němž již dříve informovala americká agentura CISA (Cybersecurity and Infrastructure Security Agency). Výzkumníci objevili kampaně zaměřené na jihokorejský think-tank a dodavatele řešení pro monitorování IT prostředků. V prvním odhaleném případě připravila skupina Lazarus infekční řetězec, který byl zabudován do legitimního jihokorejského bezpečnostního softwaru a nasazoval škodlivý payload; ve druhém případě byla cílem společnost vyvíjející řešení pro monitorování aktiv v Lotyšsku, což je pro Lazarus netypická oběť. Jako součást infekčního řetězce použila skupina Lazarus downloader s názvem „Racket“, který podepsala pomocí ukradeného certifikátu. Podařilo se jí kompromitovat zranitelné webové servery a nahrát několik skriptů pro filtrování a ovládání škodlivých implantátů na úspěšně napadených strojích.
Zpráva o trendech v oblasti APT za 3. čtvrtletí shrnuje výsledky samostatných zpráv o hrozbách, které společnost Kaspersky poskytuje pouze předplatitelům a které obsahují také údaje o indikátorech kompromitace (IoC) a pravidla YARA, která pomáhají při forenzní analýze a vyhledávání malwaru.
TZ
@RadekVyskovsky