Kaspersky: Cybercrimegroepering Lazarus blijft zich ontwikkelen
De beruchte "Operation DreamJob" van de Lazarus-groep blijft zich ontwikkelen met verfijnde tactieken. Deze cybercrimeoperatie, die al meer dan vijf jaar actief is, richt zich nu op werknemers van nucleair gerelateerde organisaties. Recent werden drie gecompromitteerde archiefbestanden ontdekt, vermomd als vaardigheidstests voor IT-professionals. De campagne maakt gebruik van geavanceerde malware, waaronder een nieuwe modulaire backdoor genaamd CookiePlus, die zich voordoet als een open-source plug-in.
Hiervoor waarschuwt Kaspersky’s Global Research and Analysis Team (GReAT). Operation DreamJob, ook bekend als DeathNote, begon in 2019 met aanvallen op cryptocurrency-gerelateerde bedrijven wereldwijd. Sindsdien heeft de campagne zich uitgebreid naar IT- en defensiebedrijven in Europa, Latijns-Amerika, Zuid-Korea en Afrika. Recente aanvallen hebben werknemers van een nucleair gerelateerde organisatie in Brazilië en een onbekende sector in Vietnam als doelwit. Over een periode van een maand ontvingen twee werknemers van dezelfde organisatie meerdere gecompromitteerde archiefbestanden, vermomd als sollicitatiemateriaal voor functies bij luchtvaart- en defensiebedrijven. Vermoedelijk gebruikte Lazarus platforms zoals LinkedIn voor de verspreiding van deze bestanden.
Complexe infectieketen
Lazarus beschikt over een meerlaagse infectieketen die verschillende soorten malware gebruikt, waaronder downloader Ranid, loader MISTPEN en backdoor RollMid. De aanvallen zijn uitgevoerd met gemanipuleerde software zoals een aangepaste AmazonVNC.exe, die verborgen payloads activeerde. Daarnaast introduceerde de groep CookiePlus, een plugin-gebaseerde backdoor vermomd als ComparePlus, een open-source Notepad++ plug-in. CookiePlus verzamelt systeeminformatie zoals computernamen en bestandspaden, en past zijn uitvoeringsschema dynamisch aan.
“Er zijn aanzienlijke risico's, waaronder diefstal van gegevens, omdat Operation DreamJob gevoelige systeeminformatie verzamelt die kan worden gebruikt voor identiteitsdiefstal of spionage. Doordat de malware zijn acties kan uitstellen, kan hij detectie op het moment van binnendringen ontwijken en langer op het systeem blijven. Door specifieke uitvoeringstijden in te stellen, kan het met tussenpozen werken zodat het niet wordt opgemerkt. Daarnaast kan de malware systeemprocessen manipuleren, waardoor het moeilijker te detecteren is en mogelijk leidt tot verdere schade of uitbuiting van het systeem,” aldus Sojun Ryu, lead security reasearcher bij Kaspersky's Global Research and Analysis Team.
Meer informatie over de nieuwe Lazarus-campagne is hier beschikbaar.
Meer over Kaspersky
Over Wouter Hoeffnagel
