Powiązania Lazarus Group z nowymi atakami cybernetycznymi
Grupa Lazarus, znana z działaniami powiązanymi z Koreańską Republiką Ludowo-Demokratyczną (KRLD), po raz kolejny rzuca światło na zaawansowane zagrożenia cybernetyczne. Tym razem badacze bezpieczeństwa odnotowali skomplikowaną sekwencję infekcji, której celem było co najmniej dwóch pracowników organizacji z branży nuklearnej w styczniu 2024 roku. Te nowe ataki wpisują się w ciąg działań szpiegowskich znanych jako Operation Dream Job lub NukeSped, prowadzonych przez Lazarus od przynajmniej 2020 roku, co zostało wcześniej ujawnione m.in. przez firmę ClearSky.
Modułowy backdoor CookiePlus jako nowy oręż cyberprzestępców
W ramach nowych ataków, grupa Lazarus wdrożyła modułowe złośliwe oprogramowanie o nazwie CookiePlus, które zostało określone mianem „backdoor”. Ataki te często opierają się na socjotechnice, polegającej na podsuwaniu fałszywych ofert pracy osobom pracującym w strategicznych sektorach, takich jak obrona, lotnictwo, kryptowaluty czy inne branże globalne. Ofiary, skuszone atrakcyjną ofertą, nieświadomie instalują złośliwe oprogramowanie na swoich systemach, które następnie umożliwia atakującym zdobycie dostępu i danych.
Metody działania grupy
Do najpopularniejszych technik wykorzystywanych przez Lazarus należy wysyłanie złośliwych dokumentów lub zmanipulowanych przeglądarek PDF, które otwierają spreparowane opisy stanowisk pracy. Alternatywną metodą jest wykorzystywanie trojanizowanych narzędzi zdalnego dostępu, takich jak VNC czy PuTTY. Ofiary są zachęcane do nawiązania połączenia z określonymi serwerami, rzekomo w celu przeprowadzenia testów kwalifikacyjnych.
W przypadku ostatnich ataków, badacze bezpieczeństwa z Kaspersky zauważyli, że Lazarus skupił się na dostarczaniu trojanizowanych wersji narzędzi TightVNC pod nazwą „AmazonVNC.exe”. Dystrybucja odbywała się za pośrednictwem obrazów ISO oraz plików ZIP. Co istotne, projekty te zawierały złośliwy komponent (DLL) służący jako loader do kolejnych ataków.
CookiePlus – ewolucja w arsenale Lazarus
CookiePlus to nowe narzędzie w repertuarze grupy Lazarus, które wyróżnia się modułową strukturą i elastycznym dostosowaniem do różnych scenariuszy ataku. Jednym z kluczowych aspektów działania CookiePlus jest zdolność do komunikacji z serwerem dowodzenia i kontroli (C2), wykorzystując zakodowane wartości cookie. Oprogramowanie to może pobierać kolejne złośliwe komponenty, które służą do eksfiltracji danych lub przeprowadzania dalszych działań w infrastrukturze ofiary.
CookiePlus ukrywa się pod przykrywką legalnych wtyczek, takich jak ComparePlus czy DirectX-Wrappers, co utrudnia ich wykrycie. W trakcie ataków na jednostkę powiązaną z branżą nuklearną odkryto, że malware to było wykorzystywane do wdrażania rozbudowanych ładunków, takich jak RollMid czy nową wersję LPEClient.
Łańcuch infekcji i cel ataków
Analiza łańcucha infekcji wykazała, że grupa Lazarus potrafiła przeprowadzić lateralne ruchy w sieci ofiary, przenosząc się z jednego urządzenia (oznaczonego jako Host A) na kolejne (Host C). Zainfekowane maszyny stawały się punktem wyjścia do dystrybucji kolejnych ładunków, takich jak ServiceChanger, Charamel Loader czy bardziej zaawansowane wersje CookiePlus. Każdy z tych komponentów był dostosowywany do specyfiki ataku, co świadczy o wysokim poziomie zaawansowania technicznego grupy.
Przykładem jest wykorzystanie CookiePlus zarówno jako samodzielnej biblioteki DLL, jak i w połączeniu z zewnętrznymi plikami, co zwiększa elastyczność działań malware’u. Dzięki temu zagrożenie to może dynamicznie dostosowywać swoje funkcje do różnych środowisk i celów.
Rosnąca rola cyberprzestępczości w KRLD
Niepokojącym trendem jest coraz większe zaangażowanie grup powiązanych z KRLD w cyberprzestępczość, szczególnie w obszarze kryptowalut. Według raportu firmy Chainalysis, w 2024 roku grupy te przeprowadziły 47 ataków na giełdy kryptowalut, kradnąc łącznie 1,34 miliarda dolarów. To znaczny wzrost w stosunku do 2023 roku, gdy straty wynosiły 660,5 miliona dolarów. Jednym z najbardziej znaczących incydentów był majowy atak na japońską giełdę DMM Bitcoin, w wyniku którego utracono 305 milionów dolarów.
Ostatnie sukcesy Lazarus na polu cyberprzestępczości pokazują, że ich działania stają się coraz bardziej zaawansowane i trudne do przewidzenia. Zdolność grupy do wprowadzania nowych narzędzi, takich jak CookiePlus, oraz ich umiejętność unikania detekcji przez współczesne rozwiązania bezpieczeństwa stanowią poważne wyzwanie dla globalnych systemów ochrony przed zagrożeniami.
Podsumowanie
Najnowsze analizy działalności Lazarus Group pokazują, że zagrożenie związane z tą grupą nieustannie ewoluuje. Organizacje o strategicznym znaczeniu, takie jak sektory nuklearny, obronny czy finansowy, muszą zwiększać świadomość pracowników oraz inwestować w zaawansowane narzędzia monitorujące i zapobiegające atakom. Jednocześnie konieczna jest wzmożona współpraca międzynarodowa w celu identyfikacji i ograniczania działalności cyberprzestępców na globalną skalę.