First click here and then choose your language with the Google translate bar at the top of this page ↑
Onderzoekers hebben een set kwaadaardige tools ontdekt en geanalyseerd, die werden gebruikt door de beruchte Lazarus APT-groep in aanvallen eind 2021. De aanvallen begonnen met spearphishing e-mails, die kwaadaardige documenten in Amazon-thema bevatten, en waren gericht op een werknemer van een luchtvaartbedrijf in Nederland en een politiek journalist in België. Het primaire doel van de aanvallers was het stelen van data.
Beide slachtoffers kregen een werkaanbod: de werknemer in Nederland ontving een bijlage via LinkedIn Messaging en de journalist in België ontving een document via e-mail. De aanvallen begonnen nadat deze documenten waren geopend. De aanvallers zetten verschillende kwaadaardige tools in op de systemen van de slachtoffers, waaronder droppers, loaders, volledig uitgeruste HTTP(S)-backdoors en HTTP(S)-uploaders.
Kwetsbaarheid Dell driver misbruikt
Het meest opvallende middel dat door de aanvallers ingezet werd, was een user-mode module, die de mogelijkheid kreeg om het kernelgeheugen te lezen en te overschrijven als gevolg van de CVE-2021-21551 kwetsbaarheid in een legitieme Dell driver. Deze kwetsbaarheid treft de Dell DBUtil-drivers; Dell heeft in mei 2021 een beveiligingsupdate uitgebracht om deze kwetsbaarheid te dichten. Dit is het eerste geregistreerde misbruik van deze kwetsbaarheid in het wild.
"De aanvallers gebruikten vervolgens hun schrijftoegang tot het kernelgeheugen om zeven mechanismen uit te schakelen die het Windows-besturingssysteem biedt om zijn acties te controleren, zoals register, bestandssysteem, procesaanmaak, event tracing, etc., waardoor beveiligingsoplossingen in feite op een zeer generieke en robuuste manier werden verblind en de aanval niet opmerkten", verklaart ESET-onderzoeker Peter Kálnai, die de aanvallen ontdekte. "Het gebeurde niet alleen in de kernelruimte, maar ook op een robuuste manier, met behulp van een reeks weinig of niet gedocumenteerde Windows-internals. Dit vereiste ongetwijfeld diepgaand onderzoek, ontwikkeling en testvaardigheden," voegt hij eraan toe.
Lazarus gebruikte ook een volledig uitgeruste HTTP(S)-backdoor bekend als BLINDINGCAN. Volgens ESET heeft deze remote access trojan (RAT) een complexe server-side controller met een gebruiksvriendelijke interface waarmee de operator gecompromitteerde systemen kan controleren en verkennen.
Aanval via malafide bijlage
In Nederland trof de aanval een Windows 10-computer die was aangesloten op het bedrijfsnetwerk, waar een werknemer via LinkedIn Messaging werd benaderd over een mogelijke nieuwe baan, waarop vervolgens een e-mail met een documentbijlage werd verstuurd. Het Word-bestand Amzon_Netherlands.docx dat naar het slachtoffer werd gestuurd, is slechts een schetsdocument met een Amazon-logo. Onderzoekers van ESET konden het sjabloon op afstand niet bemachtigen, maar ze nemen aan dat het mogelijk een baanaanbod bevatte voor het Amazon-ruimtevaartprogramma Project Kuiper. Dit is een methode die Lazarus toepaste in de Operation In(ter)ception en Operation DreamJob aanvallen gericht op de luchtvaart- en defensie-industrie.
Gezien het aantal commando’s dat de aanvallers ter beschikking staat, is het waarschijnlijk dat men op afstand de geïnfecteerde systemen heeft kunnen aansturen. De meer dan twintig beschikbare commando's omvatten het downloaden, uploaden, herschrijven en verwijderen van bestanden, en het maken van schermafbeeldingen.
"Bij deze aanval, evenals bij vele andere die aan Lazarus worden toegeschreven, zagen we dat er veel tools werden verspreid, zelfs op één enkel doelwit in een interessant netwerk. Zonder twijfel is het team achter de aanval vrij groot, systematisch georganiseerd en uitstekend voorbereid," zegt Kálnai.
Lazarus-groepering
ESET Research schrijft deze aanvallen met grote zekerheid toe aan de Lazarus-groepering. De diversiteit, het aantal en de excentriciteit in de uitvoering van Lazarus-aanvallen kenmerken deze groep, evenals het feit dat het alle drie de pijlers van cybercriminele activiteiten uitvoert: cyberspionage, cybersabotage en het nastreven van financieel gewin. Lazarus (ook bekend als HIDDEN COBRA) is ten minste sinds 2009 actief. Het is verantwoordelijk voor verschillende incidenten. Dit onderzoek is gepresenteerd op de Virus Bulletin conferentie van dit jaar. De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.
Bron: virusbulletin.com, welivesecurity.com
Blijf op de hoogte en schrijf je in voor de wekelijkse nieuwsbrief op zondag om 19:00
Meer actueel nieuws
Cybercrime nieuwsbrief 202 week 12-2022
De oorlog in Oekraïne en de pandemie maken het belang van een goede cybersecurity nog eens duidelijk, we hebben een ongebruikelijke aanmeld poging opgemerkt op een apparaat of locatie die je normaal gesproken niet gebruikt en de hacks van Lapsus$. Dit en meer lees je in nieuwsbrief 202.
De cyberoorlog: ‘Wees waakzaam voor cyberaanvallen’
Ondanks de oorlog in Oekraïne zijn er op dit moment geen geavanceerde cyberaanvallen die gevolgen hebben voor de Nederlandse infrastructuur. Dat betekent niet dat het risico daarop weg is. Het Nationaal Cyber Security Centrum (NCSC) monitort daarom voortdurend de situatie en staat in nauw contact met nationale en internationale partners over mogelijke incidenten, dreigingen en maatregelen. Het bedrijfsleven krijgt het advies om alert te zijn voor eventuele digitale aanvallen en andere bedreigingen.
Hacks van Lapsus$
Cybersecurity-onderzoekers van Microsoft en Nvidia hebben de recente hacks van Lapsus$ op deze bedrijven herleid naar een tiener in Oxford. De zestienjarige zou nog bij zijn moeder wonen, maar wel het mastermind achter de aanvallen zijn. Dit meldt Bloomberg.
We hebben een ongebruikelijke aanmeldpoging opgemerkt op een apparaat of locatie die je normaal gesproken niet gebruikt. Was jij dit?
De meeste online diensten hebben een ingebouwd beveiligingssysteem dat u waarschuwt wanneer er “ongewone” activiteit op uw account wordt gedetecteerd. Zo sturen diensten bijvoorbeeld meldingen over pogingen tot het opnieuw instellen van het telefoonnummer en e-mailadres die aan de account zijn gekoppeld, of het wachtwoord. Toen dit soort berichten gemeengoed werd, probeerden ondernemende cybercriminelen natuurlijk dit mechanisme na te bootsen om gebruikers aan te vallen.
Minister: “Het internet is hier van hoge kwaliteit, snel en goedkoop”
Het komt helaas regelmatig voor dat hackers en cybercriminelen de Nederlandse digitale infrastructuur misbruiken. Dat is niet goed voor het internationale imago van ons land, bondgenootschappelijke belangen en integriteit van de Nederlandse ICT-infrastructuur. Om misbruik te voorkomen en bijstand te verlenen, werken tal van instanties dag en nacht hieraan.
Vijf verdachten van crimineel netwerk rondom bankhelpdeskfraude aangehouden
Op dinsdagochtend 22 maart 2022 heeft de politie vijf personen aangehouden op verdenking van betrokkenheid bij bankhelpdeskfraude en witwassen. De verdachten hebben door het hele land slachtoffers gemaakt.