Noord-Korea hackers richt zich op luchtvaartbedrijf in Nederland en politiek journalist in België

Gepubliceerd op 30 september 2022 om 16:00

First click here and then choose your language with the Google translate bar at the top of this page ↑

Onderzoekers hebben een set kwaadaardige tools ontdekt en geanalyseerd, die werden gebruikt door de beruchte Lazarus APT-groep in aanvallen eind 2021. De aanvallen begonnen met spearphishing e-mails, die kwaadaardige documenten in Amazon-thema bevatten, en waren gericht op een werknemer van een luchtvaartbedrijf in Nederland en een politiek journalist in België. Het primaire doel van de aanvallers was het stelen van data.

Beide slachtoffers kregen een werkaanbod: de werknemer in Nederland ontving een bijlage via LinkedIn Messaging en de journalist in België ontving een document via e-mail. De aanvallen begonnen nadat deze documenten waren geopend. De aanvallers zetten verschillende kwaadaardige tools in op de systemen van de slachtoffers, waaronder droppers, loaders, volledig uitgeruste HTTP(S)-backdoors en HTTP(S)-uploaders.

Kwetsbaarheid Dell driver misbruikt

Het meest opvallende middel dat door de aanvallers ingezet werd, was een user-mode module, die de mogelijkheid kreeg om het kernelgeheugen te lezen en te overschrijven als gevolg van de CVE-2021-21551 kwetsbaarheid in een legitieme Dell driver. Deze kwetsbaarheid treft de Dell DBUtil-drivers; Dell heeft in mei 2021 een beveiligingsupdate uitgebracht om deze kwetsbaarheid te dichten. Dit is het eerste geregistreerde misbruik van deze kwetsbaarheid in het wild.

"De aanvallers gebruikten vervolgens hun schrijftoegang tot het kernelgeheugen om zeven mechanismen uit te schakelen die het Windows-besturingssysteem biedt om zijn acties te controleren, zoals register, bestandssysteem, procesaanmaak, event tracing, etc., waardoor beveiligingsoplossingen in feite op een zeer generieke en robuuste manier werden verblind en de aanval niet opmerkten", verklaart ESET-onderzoeker Peter Kálnai, die de aanvallen ontdekte. "Het gebeurde niet alleen in de kernelruimte, maar ook op een robuuste manier, met behulp van een reeks weinig of niet gedocumenteerde Windows-internals. Dit vereiste ongetwijfeld diepgaand onderzoek, ontwikkeling en testvaardigheden," voegt hij eraan toe.

Lazarus gebruikte ook een volledig uitgeruste HTTP(S)-backdoor bekend als BLINDINGCAN. Volgens ESET heeft deze remote access trojan (RAT) een complexe server-side controller met een gebruiksvriendelijke interface waarmee de operator gecompromitteerde systemen kan controleren en verkennen.

Aanval via malafide bijlage 

In Nederland trof de aanval een Windows 10-computer die was aangesloten op het bedrijfsnetwerk, waar een werknemer via LinkedIn Messaging werd benaderd over een mogelijke nieuwe baan, waarop vervolgens een e-mail met een documentbijlage werd verstuurd. Het Word-bestand Amzon_Netherlands.docx dat naar het slachtoffer werd gestuurd, is slechts een schetsdocument met een Amazon-logo. Onderzoekers van ESET konden het sjabloon op afstand niet bemachtigen, maar ze nemen aan dat het mogelijk een baanaanbod bevatte voor het Amazon-ruimtevaartprogramma Project Kuiper. Dit is een methode die Lazarus toepaste in de Operation In(ter)ception en Operation DreamJob aanvallen gericht op de luchtvaart- en defensie-industrie.

Gezien het aantal commando’s dat de aanvallers ter beschikking staat, is het waarschijnlijk dat men op afstand de geïnfecteerde systemen heeft kunnen aansturen. De meer dan twintig beschikbare commando's omvatten het downloaden, uploaden, herschrijven en verwijderen van bestanden, en het maken van schermafbeeldingen.

"Bij deze aanval, evenals bij vele andere die aan Lazarus worden toegeschreven, zagen we dat er veel tools werden verspreid, zelfs op één enkel doelwit in een interessant netwerk. Zonder twijfel is het team achter de aanval vrij groot, systematisch georganiseerd en uitstekend voorbereid," zegt Kálnai.

Lazarus-groepering

ESET Research schrijft deze aanvallen met grote zekerheid toe aan de Lazarus-groepering. De diversiteit, het aantal en de excentriciteit in de uitvoering van Lazarus-aanvallen kenmerken deze groep, evenals het feit dat het alle drie de pijlers van cybercriminele activiteiten uitvoert: cyberspionage, cybersabotage en het nastreven van financieel gewin. Lazarus (ook bekend als HIDDEN COBRA) is ten minste sinds 2009 actief. Het is verantwoordelijk voor verschillende incidenten. Dit onderzoek is gepresenteerd op de Virus Bulletin conferentie van dit jaar. De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.

Amazon Themed Campaigns Of Lazarus In The Netherlands And Belgium
PDF – 845,7 KB 137 downloads

Bron: virusbulletin.com, welivesecurity.com

Blijf op de hoogte en schrijf je in voor de wekelijkse nieuwsbrief op zondag om 19:00

Actuele aanvallen overzicht per dag

Ernstige kwetsbaarheden

Rapporten bekijken of downloaden

Meer actueel nieuws

"De Nederlandse politie heeft voortdurend een belangrijke rol in dit soort internationale onderzoeken"

Door een grootschalige en internationaal gecoördineerde actie zijn politie-eenheden uit diverse landen erin geslaagd om de VPN-provider DoubleVPN offline te halen. Politiediensten uit onder meer Duitsland, het Verenigd Koninkrijk, Canada en de Verenigde Staten zeggen dat hackers en cybercriminelen de VPN-service gebruikten om ransomware-aanvallen en andere digitale misdrijven uit te voeren. Nu de gehele infrastructuur van DoubleVPN platligt, is het criminele circuit een gevoelige klap toegebracht.

Lees meer »

Aanval hoeven niet altijd geraffineerd te zijn om succes te hebben

Hackers en cybercriminelen gaan steeds geraffineerder te werk bij het uitvoeren van cyberaanvallen. Doordat burgers te weinig of geen beveiligingsmaatregelen nemen en onvoldoende opletten, zijn steeds meer aanvallen succesvol. Het bestrijden van cybercrime is dan ook ‘een forse uitdaging’ die ‘een blijvende inspanning’ vraagt. Dat schrijft demissionair minister van Justitie en Veiligheid Ferd Grapperhaus in een brief aan de Tweede Kamer.

Lees meer »

Mandemakers groep: ‘ondanks adequate beveiliging’ toch slachtoffer

Keuken- en meubelverkoper De Mandemakers Groep (DMG) is het slachtoffer geworden van hackers. Zij slaagden erin om een groot deel van de IT-systemen te blokkeren. DMG heeft aangifte gedaan bij de politie en melding van het voorval gemaakt bij de Autoriteit Persoonsgegevens. Cybersecuritybedrijf Fox-IT helpt het bedrijf bij de afwikkeling van de aanval en het versterken van de beveiligingsmaatregelen.

Lees meer »