В 4 квартале 2022 года компания WithSecure обнаружила и отреагировала на кибератаку, проведенную субъектом угрозы, которую WithSecure™ с высокой степенью уверенности отнесла к группе вторжений под названием Lazarus Group. Атрибуция с высокой степенью уверенности была основана на совпадающих тактиках и процедурах, а также на операционной ошибке безопасности угрожающего субъекта. Помимо технических признаков, инцидент, наблюдаемый WithSecure™, также содержит характеристики недавних кампаний, приписываемых Lazarus Group другими исследователями.
No Pineapple
Кампания была направлена на государственные и частные исследовательские организации, медицинские исследования и энергетический сектор, а также на их цепочки поставок. Мотивация кампании оценивается как наиболее вероятная для получения разведывательной выгоды. В предыдущих отчетах о подобных кампаниях подчеркивается нацеленность на технологии с военным применением, и, по оценке WithSecure, этот тип нацеленности продолжался до 4 квартала 2022 года.
Служба анализа угроз WithSecure назвала этот отчет "No Pineapple" из-за сообщения об ошибке в бэкдоре, который добавляет < No Pineapple! > в данные о событиях, когда они превышают размер сегментированного байта.
Ключевые моменты инцидента
- Первоначальная компрометация и повышение привилегий были осуществлены путем эксплуатации известных уязвимостей в непропатченных устройствах Zimbra.
- Угрожающий агент использовал готовые веб-оболочки и пользовательские двоичные файлы, а также злоупотреблял легитимными инструментами Windows и Unix (Living Off the Land).
- Угрожающий агент установил инструменты для проксирования, туннелирования и ретрансляции соединений
- Поведение C2 предполагает наличие небольшого количества C2-серверов, подключающихся через множество ретрансляторов/конечных точек. Некоторые серверы C2, похоже, сами являются скомпрометированными жертвами.
- Угрожающий агент эксфильтровал ~100 ГБ данных, но не предпринял никаких разрушительных действий к моменту нарушения работы системы.
- Другие наблюдаемые вертикали возможных жертв и эксфильтрация данных угрожающим агентом предполагают, что мотивом является сбор разведданных.
- Твердая уверенность в том, что субъектом угрозы является северокорейская государственная группа Lazarus Group, спонсирующая вторжения.
Indicators of Compromise
IPv4
- 104.225.129.103
- 104.225.129.86
- 146.185.26.150
- 15.207.207.64
- 154.6.26.2
- 175.45.176.27
- 209.95.60.92
- 23.237.32.34
Networks
- 193.176.211.0/24
SHA1
- 1f7564e93c5b4ec2de6f4f88c80c9691dc068206f
- 407b934895741a1d3b197e4e3c3d2e3284ebc76a
- 45b35d1176598be7755a6d56ad8009bb03f3c5b1
- 47f12a1976552a1319bd58d813f213d7ebdef4fa
- 61156df8e4a5eadac8137c1cbd55145eab654726
- 7c40d4ded95f425fa01895f9d4359c9ef250290a
- 88df19687e6aa8da376e37a8d71421b5b78a2cb4
- 8b0fb0e478d18a358783429eaed53ca0fe892b37
- 8c384b77b7100d6469e5e7b5cfa779dbcbcaa9ab
- aa489231455dc2e56e2399edd7c10b5522608a7d
- af9bc7ef25755982a00aca920ee7ad51f76c5cc2
- b2b36600ce41129fa85a15a7177a61b7cb714000
- cbf1529bf025523532666b0b3d2adbdae657db16
- f7564e93c5b4ec2de6f4f88c80c9691dc068206f