CILI ËSHTË “GRUPI LAZARUS” QË VEPRON NË HAPËSIRËN DIGJITALE PËR LLOGARI TË KOERSË SË VERIUT?

Aktori i kërcënimit të Koresë së Veriut i njohur si “Grupi i Lazarusit”, është vërejtur duke e zhvendosur fokusin e tij dhe duke evoluar me shpejtësi mjetet dhe taktikat e tij si pjesë e një fushate të gjatë të quajtur “DeathNote”. Ndërsa kundërshtari i shtetit-komb është i njohur për veçimin e vazhdueshëm të sektorit të kriptomonedhave, sulmet e fundit kanë synuar gjithashtu sektorët e automobilave, akademikë dhe të tjera sfera të mbrojtjes në Evropën Lindore, dhe pjesë të tjera të botës, në atë që perceptohet si një strumbullar i rëndësishëm. Në këtë pikë, aktori i kaloi të gjitha dokumentet e mashtrimit në përshkrimet e punës në lidhje me kontraktorët e mbrojtjes dhe shërbimet diplomatike," tha studiuesi i Kaspersky Seongsu Park në një analizë. Devijimi në shënjestrimin, së bashku me përdorimin e vektorëve të përditësuar të infeksionit, thuhet se ka ndodhur në prill 2020. Vlen të përmendet se grupi “DeathNote”, gjurmohet gjithashtu nën emërtimet Operation Dream Job ose NukeSped. Mandianti në pronësi të Google ka lidhur gjithashtu një nëngrup të aktivitetit me një grup që e quan UNC2970. Sulmet e fishingut (phishing) të drejtuara kundër bizneseve të kriptove zakonisht përfshijnë përdorimin e joshjeve me temë miniera bitcoin në mesazhe emaili për të joshur objektivat e mundshëm në hapjen e dokumenteve të lidhura me makro, në mënyrë që të heqin derën e pasme Manuscrypt (aka NukeSped) në makinën e komprometuar. Synimi i vertikaleve të automobilave dhe akademikëve është i lidhur me sulmet më të gjera të “Lazarus Group” kundër industrisë së mbrojtjes, siç dokumentohet nga firma ruse e sigurisë kibernetike në tetor 2021, duke çuar në vendosjen e implanteve BLINDINGCAN (aka AIRDEY ose ZetaNile) dhe COPPERHEDGE. Në një zinxhir sulmi alternativ, aktori i kërcënimit përdori një version të trojanizuar të një aplikacioni legjitim të lexuesit PDF të quajtur SumatraPDF Reader për të nisur rutinën e tij keqdashëse. Përdorimi i aplikacioneve mashtruese të lexuesve PDF nga Grupi Lazarus u zbulua më parë nga Microsoft. Objektivat e këtyre sulmeve përfshinin një shitës zgjidhjesh të monitorimit të aseteve të IT me bazë në Letoni dhe një institut kërkimi i vendosur në Korenë e Jugut, ky i fundit përfshinte abuzimin e softuerit legjitim të sigurisë që përdoret gjerësisht në vend për të ekzekutuar ngarkesat. Sulmet binjake tregojnë për aftësitë e sulmit të zinxhirit të furnizimit të Lazarusit, vuri në dukje Kaspersky në atë kohë. Ekuipazhi kundërshtar është fajësuar që atëhere për sulmin e zinxhirit të furnizimit që synonte ofruesin e shërbimit VoIP të ndërmarrjes 3CX që doli në dritë muajin e kaluar. Kaspersky tha se zbuloi një tjetër sulm në mars 2022 që kishte në shënjestër disa viktima në Korenë e Jugut duke shfrytëzuar të njëjtin softuer sigurie për të ofruar malware të shkarkimit të aftë për të shpërndarë një derë të pasme, si dhe një vjedhës informacioni për grumbullimin e të dhënave të shtypjes së tastierës dhe të kujtimeve. Dera e pasme e sapo implantuar është e aftë të ekzekutojë një ngarkesë të marrë me komunikim të emërtuar, tha Park, duke shtuar se është gjithashtu përgjegjëse për mbledhjen dhe raportimin e informacionit të viktimës. Përafërsisht në të njëjtën kohë, e njëjta derë e pasme thuhet se është përdorur për të komprometuar një kontraktor mbrojtjeje në Amerikën Latine duke përdorur teknikat e ngarkimit anësor DLL me hapjen e një skedari PDF të krijuar posaçërisht duke përdorur një lexues PDF të trojanizuar. “Grupi Lazarus” ka qenë gjithashtu i lidhur me një shkelje të suksesshme të një kontraktori tjetër të mbrojtjes në Afrikë korrikun e kaluar, në të cilin një aplikacion i dyshimtë PDF u dërgua përmes Skype për të hedhur përfundimisht një variant të një dere të pasme të quajtur ThreatNeedle dhe një implanti tjetër të njohur si ForestTiger për të nxjerrë të dhëna. “Grupi Lazarus” është një aktor kërcënimi famëkeq dhe shumë i aftë, tha Park. Ndërsa grupi Lazarus vazhdon të përsosë qasjet e tij, është thelbësore që organizatat të ruajnë vigjilencën dhe të marrin masa proaktive për t'u mbrojtur kundër aktiviteteve të tij keqdashëse.