First click here and then choose your language with the Google translate bar at the top of this page ↑
Onderzoekers hebben een set kwaadaardige tools ontdekt en geanalyseerd, die werden gebruikt door de beruchte Lazarus APT-groep in aanvallen eind 2021. De aanvallen begonnen met spearphishing e-mails, die kwaadaardige documenten in Amazon-thema bevatten, en waren gericht op een werknemer van een luchtvaartbedrijf in Nederland en een politiek journalist in België. Het primaire doel van de aanvallers was het stelen van data.
Beide slachtoffers kregen een werkaanbod: de werknemer in Nederland ontving een bijlage via LinkedIn Messaging en de journalist in België ontving een document via e-mail. De aanvallen begonnen nadat deze documenten waren geopend. De aanvallers zetten verschillende kwaadaardige tools in op de systemen van de slachtoffers, waaronder droppers, loaders, volledig uitgeruste HTTP(S)-backdoors en HTTP(S)-uploaders.
Kwetsbaarheid Dell driver misbruikt
Het meest opvallende middel dat door de aanvallers ingezet werd, was een user-mode module, die de mogelijkheid kreeg om het kernelgeheugen te lezen en te overschrijven als gevolg van de CVE-2021-21551 kwetsbaarheid in een legitieme Dell driver. Deze kwetsbaarheid treft de Dell DBUtil-drivers; Dell heeft in mei 2021 een beveiligingsupdate uitgebracht om deze kwetsbaarheid te dichten. Dit is het eerste geregistreerde misbruik van deze kwetsbaarheid in het wild.
"De aanvallers gebruikten vervolgens hun schrijftoegang tot het kernelgeheugen om zeven mechanismen uit te schakelen die het Windows-besturingssysteem biedt om zijn acties te controleren, zoals register, bestandssysteem, procesaanmaak, event tracing, etc., waardoor beveiligingsoplossingen in feite op een zeer generieke en robuuste manier werden verblind en de aanval niet opmerkten", verklaart ESET-onderzoeker Peter Kálnai, die de aanvallen ontdekte. "Het gebeurde niet alleen in de kernelruimte, maar ook op een robuuste manier, met behulp van een reeks weinig of niet gedocumenteerde Windows-internals. Dit vereiste ongetwijfeld diepgaand onderzoek, ontwikkeling en testvaardigheden," voegt hij eraan toe.
Lazarus gebruikte ook een volledig uitgeruste HTTP(S)-backdoor bekend als BLINDINGCAN. Volgens ESET heeft deze remote access trojan (RAT) een complexe server-side controller met een gebruiksvriendelijke interface waarmee de operator gecompromitteerde systemen kan controleren en verkennen.
Aanval via malafide bijlage
In Nederland trof de aanval een Windows 10-computer die was aangesloten op het bedrijfsnetwerk, waar een werknemer via LinkedIn Messaging werd benaderd over een mogelijke nieuwe baan, waarop vervolgens een e-mail met een documentbijlage werd verstuurd. Het Word-bestand Amzon_Netherlands.docx dat naar het slachtoffer werd gestuurd, is slechts een schetsdocument met een Amazon-logo. Onderzoekers van ESET konden het sjabloon op afstand niet bemachtigen, maar ze nemen aan dat het mogelijk een baanaanbod bevatte voor het Amazon-ruimtevaartprogramma Project Kuiper. Dit is een methode die Lazarus toepaste in de Operation In(ter)ception en Operation DreamJob aanvallen gericht op de luchtvaart- en defensie-industrie.
Gezien het aantal commando’s dat de aanvallers ter beschikking staat, is het waarschijnlijk dat men op afstand de geïnfecteerde systemen heeft kunnen aansturen. De meer dan twintig beschikbare commando's omvatten het downloaden, uploaden, herschrijven en verwijderen van bestanden, en het maken van schermafbeeldingen.
"Bij deze aanval, evenals bij vele andere die aan Lazarus worden toegeschreven, zagen we dat er veel tools werden verspreid, zelfs op één enkel doelwit in een interessant netwerk. Zonder twijfel is het team achter de aanval vrij groot, systematisch georganiseerd en uitstekend voorbereid," zegt Kálnai.
Lazarus-groepering
ESET Research schrijft deze aanvallen met grote zekerheid toe aan de Lazarus-groepering. De diversiteit, het aantal en de excentriciteit in de uitvoering van Lazarus-aanvallen kenmerken deze groep, evenals het feit dat het alle drie de pijlers van cybercriminele activiteiten uitvoert: cyberspionage, cybersabotage en het nastreven van financieel gewin. Lazarus (ook bekend als HIDDEN COBRA) is ten minste sinds 2009 actief. Het is verantwoordelijk voor verschillende incidenten. Dit onderzoek is gepresenteerd op de Virus Bulletin conferentie van dit jaar. De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.
Bron: virusbulletin.com, welivesecurity.com
Blijf op de hoogte en schrijf je in voor de wekelijkse nieuwsbrief op zondag om 19:00
Meer actueel nieuws
‘Pegasus spyware’ we horen er steeds meer over, maar wat is het?
Je moet er niet aan denken: iemand kan op afstand alle inhoud van je smartphone meelezen. Zonder dat je iets merkt en zonder dat je er iets tegen kunt doen. Een groot datalek verklapte het bestaan van dit soort malware: Pegasus. Waarbij de controverse vooral zit in het feit dat de surveillancemalware vooral gebruikt werd door overheden.
Overzicht cyberaanvallen week 15-2022
Industriële systemen Schneider Electric en Omron doelwit aanvallen, hogeschool VIVES slachtoffer van cyberaanval en Panasonic bevestigt cyberaanval. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Cybercrime nieuwsbrief 205 week 15-2022
Grootste hackersmarktplaats ter wereld uit de lucht gehaald, hackersgroep ‘Sandworm’ richt pijlen op stroomnetwerk met malware 'Industroyer2' en QR-code handig maar niet altijd veilig. Dit en meer lees je in nieuwsbrief 205.
Digiweerbaar met de Cyber Sessies: Aflevering 1 'Internet, onze digitale levensader'
Ons dagelijks leven speelt zich steeds meer digitaal af. Ondanks dat het niet gelijk opvalt, zijn veel apparaten met het internet verbonden. Dit maakt dat we thuis en op de werkvloer kwetsbaarder zijn geworden. Hoe maken we deze technologie veiliger?
Kritische vragen in 2de kamer over veiligheid vitale infrastructuur
Zijn Nederlandse bedrijven voorbereid op grootschalige cyberaanvallen vanuit Rusland? En in hoeverre zijn kleinere bedrijven voldoende beschermd tegen Russische hackers? Het zijn enkele vragen die de Tweede Kamerfractie van de VVD heeft over de digitale weerbaarheid van het bedrijfsleven in ons land (pdf onderaan het artikel).
QR-code handig maar niet altijd veilig
QR-codes hebben door de pandemie een nogal andere lading gekregen en ze worden zelfs ingezet in plaats van de collectebus. Toch worden ze nog steeds voor hetzelfde doel gebruikt: Het is een code bestaande uit allemaal zwarte en witte vlakjes en je telefoon kan dat ‘lezen’ en er een linkje uithalen. Klinkt vrij onschuldig, maar QR-codes kunnen gevaarlijk zijn.