We verwachten in de toekomst meer van 'ThreatNeedle' te zien

Gepubliceerd op 26 februari 2021 om 15:00
We verwachten in de toekomst meer van 'ThreatNeedle' te zien

Cybersecurity onderzoekers hebben een nieuwe campagne geïdentificeerd van Lazarus, een zeer productieve geavanceerde dreigingsactor. Lazarus is actief vanaf ten minste 2009 en is betrokken geweest bij grootschalige cyberspionage campagnes, ransomware-campagnes en zelfs aanvallen op de cryptocurrency-markt. Waar het zich de afgelopen jaren op financiële instellingen richtte, valt Lazarus sinds begin 2020 de defensie-industrie aan via een aangepaste backdoor genaamd 'ThreatNeedle'.

Achterdeur ThreatNeedle

Cybersecurity onderzoekers ontdekte de campagne toen het werd ingeschakeld om te helpen bij de incident response. De onderzoekers ontdekten dat de betreffende organisatie het slachtoffer was geworden van een aanval via aangepaste backdoor. Deze achterdeur wordt ThreatNeedle genoemd en beweegt lateraal in geïnfecteerde netwerken en verkrijgt hierdoor vertrouwelijke informatie. Tot nu toe zijn organisaties getroffen in meer dan een twaalf landen.

Hack implementatieproces

De eerste infectie vindt plaats via spearphishing; doelwitten ontvangen e-mails met een kwaadaardige Word-bijlage of een link naar een document op de bedrijfsserver. Vaak beweerden de e-mails dat er dringende updates nodig waren, gerelateerd aan de pandemie en zogenaamd afkomstig van een gerespecteerd medisch centrum.

Zodra het schadelijke document is geopend, wordt de malware verwijderd en gaat deze door naar de volgende fase van het implementatieproces. De ThreatNeedle-malware die in deze campagne wordt gebruikt, behoort tot een familie die bekend staat als Manuscrypt. Deze malwarefamilie is van Lazarus en eerder gebruikt bij aanvallen op cryptocurrency-bedrijven. Eenmaal geïnstalleerd, kan ThreatNeedle volledige controle krijgen over het apparaat en allerlei acties uitvoeren; van het manipuleren van bestanden tot het uitvoeren van ontvangen opdrachten.

Controle werkstations beheerders

Opmerkelijk in deze campagne is het vermogen van de groep om gegevens te stelen van zowel IT-netwerken op kantoor, als het afgeschermde netwerk van een centrale (een netwerk met bedrijf-kritische activa en computers met zeer gevoelige gegevens en geen toegang tot het internet). Volgens het bedrijfsbeleid mag er geen informatie worden overgedragen tussen deze twee netwerken. Beheerders kunnen echter verbinding maken met beide netwerken om deze systemen te onderhouden. Lazarus was in staat om controle te krijgen over de werkstations van beheerders en vervolgens een kwaadaardige gateway op te zetten om het afgeschermde netwerk aan te vallen en vertrouwelijke gegevens te stelen en verkrijgen.

“Lazarus was misschien wel de meest actieve dreigingsactor van 2020 en het lijkt er niet op dat dit snel gaat veranderen. Sterker nog, het Threat Analysis Team van Google meldde al in januari van dit jaar dat Lazarus dezelfde achterdeur gebruikte om zich op beveiligingsonderzoekers te richten. We verwachten in de toekomst meer van ThreatNeedle te zien en we houden het in de gaten”, zegt Seongsu Park, senior beveiligingsonderzoeker bij het Global Research and Analysis Team (GReAT).

Lazarus hackers

“Lazarus is naast zeer productief, ook erg geavanceerd. Ze waren niet alleen in staat om netwerksegmentatie te overwinnen. Daarnaast deden ze ook uitgebreid onderzoek om zeer gepersonaliseerde en effectieve spear phishing-e-mails te maken en aangepaste tools te bouwen om de gestolen informatie naar een externe server te verplaatsen. Nu industrieën nog steeds te maken hebben met werken op afstand en daardoor kwetsbaarder zijn, is het belangrijk dat organisaties extra veiligheidsmaatregelen nemen om zich te beschermen tegen dit soort geavanceerde aanvallen”, voegt Vyacheslav Kopeytsev toe, beveiligingsexpert bij Kaspersky ICS CERT.

Advies

Cybersecurity-experts raden het volgende aan, om organisaties te beschermen tegen aanvallen, zoals ThreatNeedle:

  • Geef personeel een basistraining op het gebied van cybersecurityhygiëne, aangezien veel gerichte aanvallen beginnen met phishing of andere social engineering-technieken.
  • Als een onderneming over operationele technologie (OT) of kritieke infrastructuur beschikt, zorg er dan voor dat deze gescheiden is van een bedrijfsnetwerk, of dat er geen ongeautoriseerde verbindingen zijn.
  • Zorg ervoor dat medewerkers zich bewust zijn van het cyberbeveiligingsbeleid en dit volgen.
  • Geef het SOC-team toegang tot de nieuwste Threat Intelligence (TI).
  • Implementeer een beveiligingsoplossing op bedrijfsniveau die geavanceerde bedreigingen op netwerkniveau in een vroeg stadium detecteert.
  • Het wordt ook aanbevolen om een ​​speciale oplossing voor industriële knooppunten en netwerken te implementeren die OT-netwerkverkeer monitoring, analyse en detectie van bedreigingen mogelijk maakt.
Kaspersky Ics Cert Lazarus Targets Defense Industry With Threatneedle En 20210225
PDF – 1,5 MB 250 downloads

Bron: kaspersky.com, securelist.com

Meer info over ‘hacking’?

Tips of verdachte activiteiten gezien? Meld het hier of anoniem.

Cyberspionage gerelateerde berichten

Kroonjuwelen van Nederland in gevaar

Nederlandse veiligheidsdiensten hebben grote zorgen over de voortdurende buitenlandse digitale aanvallen die een duurzame en veilige economische samenleving bedreigen. Deze aanvallen zijn niet alleen gericht op de vitale infrastructuur maar ook op bedrijven die belangrijke bijdragen leveren aan de Nederlandse economie.

Lees meer »

Cyberaanvallen op farmaceutische bedrijven

Noord-Korea heeft geprobeerd om de vaccin technologie van 'Pfizer' te stelen. Medewerkers van de Zuid-Koreaanse inlichtingen- en veiligheidsdienst NIS hebben dat in besloten kring verteld aan de leden van de veiligheidscommissie van het parlement. Het communistische land onder leiding van Kim Jong-un wilde meer te weten komen over de inhoud en productie van het corona vaccin.

Lees meer »

“Ze willen het, ze kunnen het en ze doen het”

Digitale spionage vanuit China en Rusland vormt een ‘onmiddellijke dreiging’ voor de Nederlandse economie. De Algemene en Militaire Inlichtingen- en Veiligheidsdienst (AIVD en MIVD) betrappen dagelijks hackers uit deze landen die proberen in te breken op de netwerken van bedrijven en universiteiten. Ook organisaties uit de ‘vitale infrastructuur’, zoals banken, telecom- en nutsvoorzieningsbedrijven, zijn regelmatig het doelwit van hackers. Om die reden willen de veiligheidsdiensten een hoger budget voor om meer hackers aan te trekken en het aantal ICT-systemen te vergroten.

Lees meer »

Hackers 'European Medicines Agency' omzeilen tweestapsverificatie

De cyberaanval op het 'European Medicines Agency' (EMA) in Amsterdam is niet zomaar uit de lucht komen vallen. Een anonieme bron zegt dat het gaat om een doelgerichte aanval. Volgens de tipgever zit ‘een buitenlandse inlichtingendienst’ achter de digitale aanval. Welke regering hiervoor verantwoordelijk, weet hij niet of wil hij niet kwijt.

Lees meer »