Lazarus atacă 6 firme sud-coreene prin intermediul Cross EX, erorilor Innorix și malware-ului ThreatNeedle
Cel puțin șase organizații din Coreea de Sud au fost vizate de prolificul grup Lazarus, din Coreea de Nord, ca parte a unei campanii numite Operațiunea SyncHole.
Într-o campanie recentă de spionaj, infamul grup de amenințări cibernetice nord-coreean Lazarus a vizat mai multe organizații din sectoarele software, IT, finanțe și telecomunicații din Coreea de Sud anunță Bleepingcomputer.
Grupul a combinat o strategie de atac de tip „waterhole” cu o exploatare pentru o vulnerabilitate într-un client de transfer de fișiere necesar în Coreea de Sud pentru a îndeplini anumite sarcini financiare și administrative.
Cercetătorii de la Kasperky au numit campania „Operațiunea SyncHole” și spun că activitatea a compromis cel puțin șase organizații între noiembrie 2024 și februarie 2025.
„Am identificat cel puțin șase organizații din Coreea de Sud din domeniul software, IT, financiar, al producției de semiconductori și al telecomunicațiilor care au căzut victime ale «Operațiunii SyncHole», notează Kasperky într-un raport.
„Cu toate acestea, suntem încrezători că există mult mai multe organizații afectate într-o gamă mai largă de industrii, având în vedere popularitatea software-ului exploatat de Lazarus în această campanie”, au adăugat cercetătorii.
Potrivit Kaspersky, hackerii Lazarus au folosit un exploit cunoscut de furnizor la momentul investigației, dar care fusese folosit anterior în alte atacuri.
Selectarea victimelor
Atacul a început cu ținte care vizitau portaluri media legitime din Coreea de Sud pe care Lazarus le compromisese cu scripturi pe server pentru profilarea vizitatorilor și redirecționarea țintelor valide către domenii rău intenționate.
În incidentele analizate de Kaspersky, victimele sunt redirecționate către site-uri care imită furnizorii de software, cum ar fi distribuitorul Cross EX – un instrument care permite sud-coreenilor să utilizeze software de securitate în diverse browsere web pentru servicii bancare online și interacțiuni cu site-uri web guvernamentale.
„Deși metoda exactă prin care Cross EX a fost exploatat pentru a livra malware rămâne neclară, credem că atacatorii și-au escaladat privilegiile în timpul procesului de exploatare, deoarece am confirmat că procesul a fost executat cu un nivel ridicat de integritate în majoritatea cazurilor”, a explicat Kaspersky.
Cercetătorii spun că un JavaScript malițios de pe site-ul web fals exploatează software-ul Cross EX pentru a livra malware.
Deși Kaspersky nu a găsit metoda exactă de exploatare utilizată, cercetătorii „cred că atacatorii și-au escaladat privilegiile în timpul procesului de exploatare”.
În plus, „conform unui recent aviz de securitate publicat pe site-ul web KrCERT, se pare că există vulnerabilități recent corectate în Cross EX, care au fost abordate în perioada cercetării noastre”, notează raportul Kaspersky.
Lanțuri multiple de infecții
Exploatarea lansează procesul legitim „SyncHost.exe” și injectează shellcode în acesta pentru a încărca backdoor-ul „ThreatNeedle”, care poate executa 37 de comenzi pe gazda infectată.
Kaspersky a observat lanțuri multiple de infecții la nivelul celor șase victime confirmate, care diferă în fazele anterioare și ulterioare ale atacului, doar infecția inițială fiind punctul comun.
În prima fază, ThreatNeedle a fost utilizat pentru a implementa „LPEClient” pentru profilarea sistemului, programele de descărcare a programelor malware „wAgent” sau „Agamemnon” și instrumentul „Innorix Abuser” pentru mișcarea laterală.
Kaspersky notează că Innorix Abuser a exploatat o vulnerabilitate în soluția de transfer de fișiere Innorix Agent versiunea 9.2.18.496 și a fost abordată în cea mai recentă versiune a software-ului.
În unele cazuri, ThreatNeedle nu a fost utilizat deloc, Lazarus folosind în schimb implantul „SIGNBT” pentru a implementa backdoor-ul „Copperhedge” utilizat pentru recunoaștere internă.
Pe baza instrumentelor utilizate în atacurile Operation SyncHole, Kaspersky a putut atribui cu încredere compromisurile grupului de hackeri Lazarus susținut de guvernul nord-coreean.
Indicii suplimentare care indicau atacal au fost orele de lucru/fusul orar aparent, împreună cu tehnicile, tacticile și procedurile (TTP) specifice lui Lazarus.
Pe baza mostrelor recente de malware utilizate în Operațiunea SyncHole, Kaspersky a observat că Lazarus se îndreaptă către instrumente ușoare și modulare, care sunt atât mai discrete, cât și mai configurabile.
Firma de securitate cibernetică declară că și-a comunicat constatările către Agenția Coreeană pentru Internet și Securitate (KrCERT/CC) și a confirmat că au fost lansate patch-uri pentru software-ul exploatat în această campanie.
În timpul analizei atacului, cercetătorii Kaspersky au descoperit, de asemenea, o eroare zero-day neexploatată (KVE-2024-0014) în versiunile 9.2.18.001 până la 9.2.18.538 ale Innorix Agent, care permitea descărcări arbitrare de fișiere.
Cercetătorii au raportat problema de securitate în mod responsabil prin intermediul Agenției Coreene pentru Internet și Securitate (KrCERT), iar furnizorul a abordat-o într-o actualizare luna trecută.
