Investigasi yang sedang berlangsung terhadap serangan baru-baru ini oleh kelompok Lazarus Korea Utara tentang entitas cryptocurrency dan pengembang perangkat lunak di seluruh dunia telah mengungkap lapisan administrasi tersembunyi yang telah digunakan aktor ancaman untuk mengelola infrastruktur komando-dan-kontrol kampanye (C2) secara terpusat.
Investigasi oleh para peneliti di SecurityScorecard menunjukkan Lazarus menggunakan infrastruktur yang baru ditemukan untuk mempertahankan pengawasan langsung atas sistem yang dikompromikan, mengontrol pengiriman muatan pada mereka, dan mengelola data yang dieksfiltrasi secara efisien. Secara signifikan, aktor ancaman menggunakan platform admin berbasis web yang sama dalam kampanye lain, termasuk yang melibatkan peniruan pekerja TI, vendor keamanan menemukan.
Keamanan operasional yang rumit
Meskipun aktor ancaman telah menerapkan langkah -langkah keamanan operasional yang rumit untuk mencoba dan menghindari atribusi, SecurityScorecard mengatakan mereka mampu mengikat kampanye dan infrastruktur ke Korea Utara dengan tingkat kepercayaan yang tinggi.
“[The] Analisis membuatnya jelas bahwa Lazarus mengatur operasi global yang menargetkan industri cryptocurrency dan pengembang di seluruh dunia, “kata SecurityScorecard di Laporan minggu ini. “Kampanye mengakibatkan ratusan korban mengunduh dan melaksanakan muatan, sementara, di latar belakang, data yang dieksfiltrasi disedot kembali ke Pyongyang.”
SecurityScorecard menemukan “Sirkuit Phantom,” nama yang melacak lapisan admin Lazarus Group yang baru ditemukan, saat melakukan investigasi tindak lanjut yang melibatkan “Operasi 99“Kampanye jahat yang baru -baru ini mengungkap menargetkan industri dan pengembang cryptocurrency secara global. Dalam kampanyeanggota kelompok ancaman telah menyamar sebagai perekrut di LinkedIn dan forum pekerjaan online lainnya untuk membuat pengembang perangkat lunak terlibat dalam tes proyek palsu dan ulasan kode.
Korban yang jatuh cinta pada penipuan diarahkan untuk mengkloning repositori github open source yang tampaknya jinak. Repositori yang dikloning terhubung ke infrastruktur C2 Lazarus Group, yang kemudian digunakan aktor ancaman untuk menyelinap malware mencuri data ke lingkungan korban. Sebagai bagian dari kampanye, aktor Lazarus Group telah memasukkan backdoors yang dikaburkan ke dalam produk perangkat lunak yang sah – termasuk aplikasi otentikasi dan perangkat lunak cryptocurrency – dan mencoba menipu pengembang agar menjalankannya di lingkungan mereka. SecurityScorecard memperkirakan bahwa lebih dari 230 korban telah mengunduh muatan berbahaya dalam kampanye terbaru aktor ancaman Korea Utara.
Motivasi ganda
“Motivasinya ada dua: pencurian cryptocurrency dan infiltrasi jaringan perusahaan,” kata Ryan Sherstobitoff, wakil presiden senior Ancaman Intelijen di Security Scorecard. Lebih sering daripada tidak, pengembang yang menjadi korban umpan kelompok Lazarus akhirnya melaksanakan kode yang dikloning pada perangkat perusahaan mereka dan di lingkungan kerja mereka. “Payload dirancang untuk mengeluarkan rahasia pengembangan,” katanya.
SecurityScorecard mengungkap lapisan admin sirkuit hantu ketika mencoba memahami bagaimana aktor Lazarus mengelola informasi yang mereka curi melalui Operasi 99. Apa yang ditemukan perusahaan adalah anggota Lazarus menggunakan apa yang digambarkan sebagai jaringan infrastruktur C2 yang canggih dengan cara yang sangat tersembunyi. Astrillyang memiliki server VPN di 142 kota dan 56 negara, memiliki reputasi untuk mengizinkan pengguna untuk menelusuri web secara anonim dan memotong pembatasan internet di negara -negara dengan sensor berat.
Peneliti SecurityScorecard menemukan anggota Lazarus menggunakan Astrill VPNs untuk terhubung ke jaringan proxy menengah yang terdaftar di perusahaan angkutan di Hasan, Rusia. Mereka kemudian menggunakan jaringan proxy untuk terhubung ke infrastruktur C2 Operasi 99 dalam upaya yang rumit untuk mencoba dan menyembunyikan trek mereka. Server C2 sendiri diselenggarakan di infrastruktur yang terdaftar dengan “Industri Stark, LLC” yang paling mungkin fiksi.
“[SecurityScorecard] Menilai dengan keyakinan tinggi bahwa IP yang digunakan untuk terhubung ke C2 hanyalah relay/proxy dan digunakan untuk mengaburkan asal yang sebenarnya, “tulis perusahaan dalam laporannya minggu ini.” Musuh itu membangun sesi sekunder setelah menghubungkan ke VPN Dengan proxy, sehingga mengaburkan asal sebenarnya dari mana mereka benar -benar terhubung. “SecuresCard mengatakan mereka dapat mengidentifikasi total enam alamat IP berbeda di Pyongyang yang digunakan aktor ancaman untuk memulai koneksi VPN Astrill ke jaringan C2 99.
“Sirkuit Phantom [is the] Jaringan operasional di belakang layar yang mengarah langsung kembali ke Pyongyang, “kata Sherstobitoff. Ini juga merupakan jaringan proxy yang sama, ia menambahkan, bahwa Lazarus menggunakan kampanye lain di mana anggota menggunakan identitas curian untuk menyamar sebagai pekerja TI Untuk mencoba dan mengamankan pekerjaan di organisasi, mereka ingin menyusup ke.
