- Tijdens de jaarlijkse ESET World-conferentie onthulden ESET-researchers hun nieuwe onderzoek naar de beruchte Lazarus APT Group en hun aanval op defensiebedrijven over de hele wereld tussen eind 2021 en maart 2022.
- Doelwitten bevonden zich volgens ESET-telemetrie onder andere in verschillende landen in Europa, ook een Nederlands defensiebedrijf is hierbij getroffen.
- LinkedIn en WhatsApp werden misbruikt voor valse recruitmentcampagnes.
- Volgens de Amerikaanse autoriteiten heeft Lazarus banden met het Noord-Koreaanse regime.
Sliedrecht, 1 juni 2022 – Cybercrimegroepering Lazarus heeft wereldwijd doelwitten aangevallen binnen de lucht-, ruimtevaart- en defensiesector, waarbij onder andere een Nederlands defensiebedrijf getroffen is. Medewerkers van het Nederlandse defensiebedrijf werden in september 2021 benaderd door een nep-recruiter van Amazon. Hoewel het primaire doel van deze Lazarus-operatie cyberspionage is, heeft de groep ook (niet-succesvol) geprobeerd om geld weg te sluizen.
Dat blijkt uit onderzoek van ESET, een wereldwijde leider op het gebied van digital security, dat tijdens de jaarlijkse ESET World-conferentie een nieuw onderzoek naar de beruchte Lazarus APT-groep heeft gepresenteerd. In de betreffende aanvallen van 2021-2022 heeft Lazarus zich volgens ESET-telemetrie gericht op bedrijven in Europa, waaronder Nederland. Andere betrokken landen zijn Frankrijk, Italië, Duitsland, Polen en Oekraïne, Turkije, Qatar en Brazilië.
ESET-onderzoekers dachten initieel dat de actie vooral gericht was op het aanvallen van Europese bedrijven, maar door het volgen van een aantal Lazarus-subgroepen die vergelijkbare campagnes uitvoerden tegen defensiebedrijven, realiseerden ze zich al snel dat de campagne zich veel breder uitstrekte. Hoewel de malware die in de verschillende campagnes werd gebruikt verschilde, bleef de aanvankelijke modus operandi (M.O.) altijd hetzelfde: een nep-recruiter nam via LinkedIn contact op met een werknemer en stuurde uiteindelijk kwaadaardige componenten. Onderzoekers van ESET stelden ook vast dat Lazarus elementen van legitieme wervingscampagnes hergebruikt hebben om hun valse wervingscampagnes meer geloofwaardigheid te geven. Daarnaast hebben de aanvallers diensten als WhatsApp of Slack gebruikt in hun kwaadaardige campagnes.
Tijdens ESET World lichtte Jean-Ian Boutin, directeur van ESET Threat Research, de verschillende nieuwe campagnes die de Lazarus-groep tussen eind 2021 en maart 2022 heeft gepleegd tegen defensiebedrijven over de hele wereld verder toe: "De Lazarus-dreigingsgroep toonde vindingrijkheid door een interessante toolset in te zetten, waaronder bijvoorbeeld een gebruikersmodus-onderdeel dat in staat was misbruik te maken van een kwetsbaar Dell-stuurprogramma van waaruit naar het kernelgeheugen kon worden geschreven. Deze geavanceerde truc werd gebruikt in een poging beveiligingsoplossingen die toezicht houden te omzeilen".
Figuur 1. Voorbeeld van een valse wervingscampagne door Lazarus
In 2021 heeft het Amerikaanse Ministerie van Justitie drie IT-programmeurs aangeklaagd wegens cyberaanvallen, omdat zij voor het Noord-Koreaanse leger werkten. Volgens de Amerikaanse overheid behoorden ze tot de Noord-Koreaanse militaire hackeenheid die in de infosec-gemeenschap bekendstaat als Lazarus Group.
Over ESET
Al meer dan 3 decennia ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds complexere digitale bedreigingen. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Evoluerende bedreigingen vereisen een evoluerend IT-beveiligingsbedrijf dat veilig gebruik van technologie mogelijk maakt. Dit wordt ondersteund door ESET's R&D centra wereldwijd, die zich inzetten voor onze gezamenlijke toekomst. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en Twitter.