- Deze Lazarus-campagnes waren gericht tegen een werknemer van een lucht- & ruimtevaartbedrijf in Nederland en een politiek journalist in België
- De campagnes maakten gebruik van kwaadaardige documenten met een Amazon-thema en het primaire doel was het stelen van gegevens.
- Een tool, die gebruikt werd in deze campagne, laat het eerste geregistreerde misbruik van de CVE-2021-21551 kwetsbaarheid zien. Deze kwetsbaarheid treft de Dell DBUtil-drivers; Dell heeft in mei 2021 een beveiligingsupdate geleverd.
- Deze tool, in combinatie met de kwetsbaarheid, schakelt de bewaking van alle beveiligingsoplossingen op gecompromitteerde machines uit. Het bestaan van zo'n tool zou een waarschuwing moeten zijn voor ontwikkelaars van beveiligingsproducten om de zelfbescherming van hun software te verbeteren.
- De complexiteit van de aanval geeft aan dat Lazarus bestaat uit een groot team dat systematisch georganiseerd aanvallen uitvoert en diepgaande voorbereidingen daarop treft.
Sliedrecht, 30 september 2022 – ESET-onderzoekers hebben een set kwaadaardige tools ontdekt en geanalyseerd, die werden gebruikt door de beruchte Lazarus APT-groep (Advanced Persistent Threat) in aanvallen eind 2021. De aanvallen begonnen met spearphishing e-mails, die kwaadaardige documenten in Amazon-thema bevatten, en waren gericht op een werknemer van een luchtvaartbedrijf in Nederland en een politiek journalist in België. Het primaire doel van de aanvallers was het stelen van data.
Beide slachtoffers kregen een werkaanbod: de werknemer in Nederland ontving een bijlage via LinkedIn Messaging en de journalist in België ontving een document via e-mail. De aanvallen begonnen nadat deze documenten waren geopend. De aanvallers zetten verschillende kwaadaardige tools in op de systemen van de slachtoffers, waaronder droppers, loaders, volledig uitgeruste HTTP(S)-backdoors en HTTP(S)-uploaders.
Het meest opvallende middel dat door de aanvallers ingezet werd, was een user-mode module, die de mogelijkheid kreeg om het kernelgeheugen te lezen en te overschrijven als gevolg van de CVE-2021-21551 kwetsbaarheid in een legitieme Dell driver. Deze kwetsbaarheid treft de Dell DBUtil-drivers; Dell heeft in mei 2021 een beveiligingsupdate uitgebracht om deze kwetsbaarheid te dichten. Dit is het eerste geregistreerde misbruik van deze kwetsbaarheid.
"De aanvallers gebruikten vervolgens hun schrijftoegang tot het kernelgeheugen om zeven mechanismen uit te schakelen die het Windows-besturingssysteem biedt om zijn acties te controleren, zoals register, bestandssysteem, procesaanmaak, event tracing, etc., waardoor beveiligingsoplossingen in feite op een zeer generieke en robuuste manier werden verblind en de aanval niet opmerkten", verklaart ESET-onderzoeker Peter Kálnai, die de aanvallen ontdekte. "Het gebeurde niet alleen in de kernelruimte, maar ook op een robuuste manier, met behulp van een reeks weinig of niet gedocumenteerde Windows-internals. Dit vereiste ongetwijfeld diepgaand onderzoek, ontwikkeling en testvaardigheden," voegt hij eraan toe.
Lazarus gebruikte ook een volledig uitgeruste HTTP(S)-backdoor bekend als BLINDINGCAN. Volgens ESET heeft deze remote access trojan (RAT) een complexe server-side controller met een gebruiksvriendelijke interface waarmee de operator gecompromitteerde systemen kan controleren en verkennen.
In Nederland trof de aanval een Windows 10-computer die was aangesloten op het bedrijfsnetwerk, waar een werknemer via LinkedIn Messaging werd benaderd over een mogelijke nieuwe baan, waardoor een e-mail met een documentbijlage werd verstuurd. Het Word-bestand Amzon_Netherlands.docx dat naar het slachtoffer werd gestuurd, is slechts een schetsdocument met een Amazon-logo. Onderzoekers van ESET konden het sjabloon op afstand niet bemachtigen, maar ze nemen aan dat het mogelijk een baanaanbod bevatte voor het Amazon-ruimtevaartprogramma Project Kuiper. Dit is een methode die Lazarus toepaste in de Operation In(ter)ception en Operation DreamJob aanvallen gericht op de luchtvaart- en defensie-industrie.
Gezien het aantal commando’s dat de aanvallers ter beschikking staat, is het waarschijnlijk dat men op afstand de geïnfecteerde systemen heeft kunnen aansturen. De meer dan twintig beschikbare commando's omvatten het downloaden, uploaden, herschrijven en verwijderen van bestanden, en het maken van schermafbeeldingen.
"Bij deze aanval, evenals bij vele andere die aan Lazarus worden toegeschreven, zagen we dat er veel tools werden verspreid, zelfs op één enkel doelwit in een interessant netwerk. Zonder twijfel is het team achter de aanval vrij groot, systematisch georganiseerd en uitstekend voorbereid," zegt Kálnai.
ESET Research schrijft deze aanvallen met grote zekerheid toe aan de Lazarus-groepering. De diversiteit, het aantal en de excentriciteit in de uitvoering van Lazarus-aanvallen kenmerken deze groep, evenals het feit dat het alle drie de pijlers van cybercriminele activiteiten uitvoert: cyberspionage, cybersabotage en het nastreven van financieel gewin. Lazarus (ook bekend als HIDDEN COBRA) is ten minste sinds 2009 actief. Het is verantwoordelijk voor verschillende geruchtmakende incidenten. Dit onderzoek is gepresenteerd op de Virus Bulletin conferentie van dit jaar. Gedetailleerde informatie is beschikbaar in de whitepaper "Lazarus & BYOVD: Evil to the Windows core." Voor meer technische informatie over de laatste Lazarus-aanval, bekijk de blogpost "Amazon-themed campaigns of Lazarus in the Netherlands and Belgium" op WeLiveSecurity.
Volg ESET Research op Twitter voor het laatste nieuws van ESET Research.
Over ESET
Al meer dan 3 decennia ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten voor het leveren van uitgebreide, meerlaagse bescherming tegen cyberdreigingen voor bedrijven, kritieke infrastructuur en consumenten wereldwijd. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET is sinds haar oprichting pionier op het gebied van machine learning en cloud technologieën die malware voorkomen, detecteren en erop reageren. ESET is een particulier bedrijf dat wereldwijd wetenschappelijk onderzoek & ontwikkeling bevordert. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook,Instagram en Twitter.