First click here and then choose your language with the Google translate bar at the top of this page ↑
Onderzoekers hebben een set kwaadaardige tools ontdekt en geanalyseerd, die werden gebruikt door de beruchte Lazarus APT-groep in aanvallen eind 2021. De aanvallen begonnen met spearphishing e-mails, die kwaadaardige documenten in Amazon-thema bevatten, en waren gericht op een werknemer van een luchtvaartbedrijf in Nederland en een politiek journalist in België. Het primaire doel van de aanvallers was het stelen van data.
Beide slachtoffers kregen een werkaanbod: de werknemer in Nederland ontving een bijlage via LinkedIn Messaging en de journalist in België ontving een document via e-mail. De aanvallen begonnen nadat deze documenten waren geopend. De aanvallers zetten verschillende kwaadaardige tools in op de systemen van de slachtoffers, waaronder droppers, loaders, volledig uitgeruste HTTP(S)-backdoors en HTTP(S)-uploaders.
Kwetsbaarheid Dell driver misbruikt
Het meest opvallende middel dat door de aanvallers ingezet werd, was een user-mode module, die de mogelijkheid kreeg om het kernelgeheugen te lezen en te overschrijven als gevolg van de CVE-2021-21551 kwetsbaarheid in een legitieme Dell driver. Deze kwetsbaarheid treft de Dell DBUtil-drivers; Dell heeft in mei 2021 een beveiligingsupdate uitgebracht om deze kwetsbaarheid te dichten. Dit is het eerste geregistreerde misbruik van deze kwetsbaarheid in het wild.
"De aanvallers gebruikten vervolgens hun schrijftoegang tot het kernelgeheugen om zeven mechanismen uit te schakelen die het Windows-besturingssysteem biedt om zijn acties te controleren, zoals register, bestandssysteem, procesaanmaak, event tracing, etc., waardoor beveiligingsoplossingen in feite op een zeer generieke en robuuste manier werden verblind en de aanval niet opmerkten", verklaart ESET-onderzoeker Peter Kálnai, die de aanvallen ontdekte. "Het gebeurde niet alleen in de kernelruimte, maar ook op een robuuste manier, met behulp van een reeks weinig of niet gedocumenteerde Windows-internals. Dit vereiste ongetwijfeld diepgaand onderzoek, ontwikkeling en testvaardigheden," voegt hij eraan toe.
Lazarus gebruikte ook een volledig uitgeruste HTTP(S)-backdoor bekend als BLINDINGCAN. Volgens ESET heeft deze remote access trojan (RAT) een complexe server-side controller met een gebruiksvriendelijke interface waarmee de operator gecompromitteerde systemen kan controleren en verkennen.
Aanval via malafide bijlage
In Nederland trof de aanval een Windows 10-computer die was aangesloten op het bedrijfsnetwerk, waar een werknemer via LinkedIn Messaging werd benaderd over een mogelijke nieuwe baan, waarop vervolgens een e-mail met een documentbijlage werd verstuurd. Het Word-bestand Amzon_Netherlands.docx dat naar het slachtoffer werd gestuurd, is slechts een schetsdocument met een Amazon-logo. Onderzoekers van ESET konden het sjabloon op afstand niet bemachtigen, maar ze nemen aan dat het mogelijk een baanaanbod bevatte voor het Amazon-ruimtevaartprogramma Project Kuiper. Dit is een methode die Lazarus toepaste in de Operation In(ter)ception en Operation DreamJob aanvallen gericht op de luchtvaart- en defensie-industrie.
Gezien het aantal commando’s dat de aanvallers ter beschikking staat, is het waarschijnlijk dat men op afstand de geïnfecteerde systemen heeft kunnen aansturen. De meer dan twintig beschikbare commando's omvatten het downloaden, uploaden, herschrijven en verwijderen van bestanden, en het maken van schermafbeeldingen.
"Bij deze aanval, evenals bij vele andere die aan Lazarus worden toegeschreven, zagen we dat er veel tools werden verspreid, zelfs op één enkel doelwit in een interessant netwerk. Zonder twijfel is het team achter de aanval vrij groot, systematisch georganiseerd en uitstekend voorbereid," zegt Kálnai.
Lazarus-groepering
ESET Research schrijft deze aanvallen met grote zekerheid toe aan de Lazarus-groepering. De diversiteit, het aantal en de excentriciteit in de uitvoering van Lazarus-aanvallen kenmerken deze groep, evenals het feit dat het alle drie de pijlers van cybercriminele activiteiten uitvoert: cyberspionage, cybersabotage en het nastreven van financieel gewin. Lazarus (ook bekend als HIDDEN COBRA) is ten minste sinds 2009 actief. Het is verantwoordelijk voor verschillende incidenten. Dit onderzoek is gepresenteerd op de Virus Bulletin conferentie van dit jaar. De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.
Bron: virusbulletin.com, welivesecurity.com
Blijf op de hoogte en schrijf je in voor de wekelijkse nieuwsbrief op zondag om 19:00
Meer actueel nieuws
De slechtste wachtwoorden van 2020
De hitparade van de slechtste wachtwoorden van het jaar is al een soort traditie geworden. Weet je nog dat we in 2019 een beoordeling van de 100 meest ongelukkige hebben gepubliceerd? 2020 zal geen uitzondering zijn, vooral omdat experts meer dan 5 miljard gelekte wachtwoorden hebben geanalyseerd en er iets is om verrast te worden.
Kiezen tussen twee kwaden
Ambtenaren van het ministerie van Justitie en Veiligheid werken nog altijd aan een plan om encryptie af te zwakken. Daardoor willen ze berichten kunnen onderscheppen en inzien om cybercriminelen aan te pakken. Het onderwerp wordt pas na de verkiezingen behandeld, wat betekent dat het aan een volgend kabinet is om al dan niet iets met de plannen te doen.
Noodinstructies afgegeven voor meerdere kritieke kwetsbaarheden in Microsoft Exchange!
Het 'Cybersecurity and Infrastructure Security Agency' (CISA) van het Amerikaanse ministerie van 'Homeland Security' heeft noodinstructies afgegeven voor meerdere kritieke kwetsbaarheden in Microsoft Exchange. Federale overheidsinstanties in de VS moeten de instructies voor morgenmiddag hebben uitgevoerd.
Een match made in heaven (of hel?): verliefd op een dating fraudeur
Veel mensen zijn actief op dating websites en apps. Juist nu, in een tijd waarin het lastig is om nieuwe mensen te ontmoeten door de corona-regels bieden zulke platforms een uitkomst. Ze vereenvoudigen de zoektocht naar liefde: met een paar muisklikken kunnen singles uit heel Nederland bereikt worden. Voor velen met succes, want steeds meer koppels ontmoeten elkaar online. Op het internet is echter niet alles wat het lijkt. De prins of prinses op het witte paard kan online oprecht overkomen, maar eigenlijk helemaal niet bestaan. Dat is waar dit artikel over gaat: online dating fraude.
Niet alle 'Virtual Private Networks' zijn veilig
De persoonsgegevens van 21 miljoen gebruikers van SuperVPN, GeckoVPN en ChatVPN zijn buitgemaakt door een hacker. Hij biedt hun gegevens te koop aan op een populair forum voor hackers. Een klein deel van de gestolen gegevens was al opgenomen in de database van Have I Been Pwned.
Boeven konden hun 'werk' niet doen
Afgelopen jaar kreeg de politie minder vaak te maken met traditionele vormen van criminaliteit. Het aantal meldingen van zakkenrollerij, woninginbraak en winkeldiefstal nam fors af. Tegelijkertijd registreerde de politie veel vaker online criminaliteit, waaronder verkoopfraude en hacken.